Geheime diensten bewaren data te lang

Toezichthouder kritisch

De Nederlandse inlichtingendiensten AIVD en MIVD verzuimen structureel gegevens te vernietigen die ze hebben verkregen door te hacken. Daarmee handelen ze onrechtmatig, schrijft de toezichthouder van de geheime diensten CTIVD dinsdag in een rapport.

De AIVD en de MIVD mogen onder meer smartphones en e-mailaccounts van ‘targets’ hacken als ze daarvoor de wettelijk vereiste toestemming krijgen van de minister. Bij het bewaren van data moeten ze zich volgens een toezegging aan de Tweede Kamer houden aan maximumtermijnen. De toezichthouder schrijft dat AIVD en MIVD „in het geheel geen beleid, laat staan werkwijzen” hebben om verzamelde gegevens na verloop van tijd te vernietigen.

De conclusie roept vragen op, mede omdat de Tweede Kamer in februari akkoord is gegaan met een nieuwe Wet op de inlichtingendiensten. De Eerste Kamer moet zich hier nog over buigen. AIVD en MIVD mogen volgens dit wetsvoorstel data van burgers in bulk via de kabel onderscheppen, een techniek die door critici ook wel ‘sleepnet’ wordt genoemd. Data die daarmee worden vergaard, moeten binnen drie jaar worden vernietigd.

De geheime diensten gaan volgens de toezichthouder ook onzorgvuldig om met zogeheten ‘zero days’. Dat zijn voor de fabrikant onbekende fouten in de programmeercode van software die als ingang gebruikt kunnen worden.

Geheime diensten mogen hacken via zero days, maar helder beleid over het achteraf melden van dit soort zwakke plekken bij de fabrikant ontbreekt, schrijft de toezichthouder. (NRC)