Gegevens van Nederlanders worden niet goed genoeg beschermd door de veiligheidsdiensten. Dat schrijft de toezichthouder op die diensten in een voortgangsreportage. Vier vragen en antwoorden over de bescherming van onze gegevens.
Waar heeft de CTIVD naar gekeken?
De Commissie Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) controleert de manier waarop de Wet op de Inlichtingen- en veiligheidsdiensten (Wiv) door de AIVD en de MIVD wordt uitgevoerd. Uit het eerste rapport van de toezichthouder blijkt dat de twee veiligheidsdiensten grote moeite hebben met het rechtmatig uitvoeren van de wet.
Over de uitvoering van de wet bestonden al grote zorgen toen in maart van dit jaar het tot dusver laatste nationale referendum werd gehouden over de ‘sleepwet’. 49,4 procent van de kiezers stemde toen tegen de wet.
Lees ook dit stuk terug: Zo hield Ollongren rapport over sleepwet achter
De tegenstemmers waren toen erg bezorgd over schendingen van privacy van de burger. Om aan die zorgen tegemoet te komen, paste minister van Binnenlandse Zaken Kajsa Ollongren (D66) de wet aan. Daardoor moesten de veiligheidsdiensten gerichter naar informatie zoeken en mochten ze die soms korter bewaren.
Nu blijkt dat die extra waarborgen niet goed worden nageleefd, noch door de Algemene Inlichtingen- en Veiligheidsdienst (AIVD), waarvoor Ollongren verantwoordelijk is, noch door de Militaire Inlichtingen- en Veiligheidsdienst (MIVD). Die laatste dienst valt onder de verantwoordelijkheid van CDA’er Ank Bijleveld, de minister van Defensie.
Sinds 1 mei, toen de wet inging, heeft de CTIVD gecontroleerd hoe de diensten met de wet omgingen. In het rapport is de toezichthouder bijzonder kritisch. Al in de inleiding schrijven zij dat ‘de diensten er zeker nog niet zijn’. Ook schrijven zij dat ‘essentiële waarborgen voor de bescherming van de rechten van het individu (…), geheel of gedeeltelijk, hun invulling in de praktijk’ missen.
Waar gaat het mis?
Onder meer bij de zorgplicht die de AIVD en MIVD hebben. Op grond daarvan moeten de diensten continu controleren hoe zij met gegevens omgaan en dat dat volgens de regels van de wet gebeurt. Beide diensten kennen op dit moment geen procedures die dat in de gaten houden. Daardoor kan de toezichthouder geen toezicht houden. Ook is nog onduidelijk wanneer dat beleid er wel is. De CTIVD hoopt dat dit in mei 2019, bij het uitbrengen van het volgende rapport, geregeld is.
Ook het beoordelen van de informatie die de veiligheidsdiensten hebben verzameld, is niet op orde. Er is een verplichting tot ‘permanente datareductie’, zodat zo snel mogelijk niet-relevante gegevens die de diensten hebben verzameld, worden verwijderd. Dit moet de privacy beschermen van burgers over wie data is verzameld.
Waarom gaat het mis?
Nu blijkt dat bij de MIVD de ICT-systemen ontbreken om dit onderdeel van de wet goed uit te kunnen voeren. Bij de AIVD is dit systeem er wel, maar is onduidelijk wanneer de datareductie automatisch of handmatig moet plaatsvinden.
Lees ook deze column van Afshin Ellian: Waarom de AIVD meer bevoegdheden moet krijgen 
Het ontbreken van systemen en invulling geven aan begrippen is een groot probleem om de wet goed uit te voeren. Zo is er geen definitie gegeven van het begrip ‘zo gericht mogelijk’ informatie verzamelen. Daardoor kunnen in de praktijk gegevens via de ether dus gewoon uit de lucht worden geplukt. Volgens de CTIVD is er nu een grote kans dat de manier waarop dit gaat, in strijd is met de wet.
Hoe heeft de politiek hierop gereageerd?
Het kabinet erkent de misstanden die door de CTIVD zijn geconstateerd. In een brief aan de Tweede Kamer schrijven Ollongren en Bijleveld dat zij aanvullende maatregelen zullen treffen, zodat de wet beter wordt uitgevoerd. De CTIVD zal daarop toezicht blijven houden. Of de veiligheidsdiensten zich daadwerkelijk beter aan de wet gaan houden, zal over een half jaar blijken, als er een nieuw rapport van de CTIVD verschijnt.