De inlichtingendiensten AIVD en MIVD bewaren structureel gegevens die ze eigenlijk zouden moeten vernietigen. Dat schrijft de Commissie Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) in een op 24 april verschenen rapport.
De CTIVD nam alle hacks onder de loep die de diensten tussen 1 januari 2015 en 17 maart 2016 uitvoerden. De commissie concludeert dat de AIVD en MIVD “doorgaans weloverwogen te werk gaan’’, maar ze somt ook de manieren op waarop de inlichtingendiensten in strijd met de regels handelen.
> lees ook Experts: toezicht in ‘aftapwet’ onvoldoende
Niet wissen van gegevens en geen bewaartermijnen
Een daarvan is het niet-wissen van gegevens hoewel dit volgens de regels wel zou moeten. Daarnaast hanteren de diensten nog steeds geen bewaartermijnen voor gegevens die nog moeten worden geëvalueerd. Hierover zijn eerder wel toezeggingen gedaan aan de Tweede Kamer. “Hiermee handelen de diensten onrechtmatig’’, concludeert de commissie. Ze raadt een maximale bewaartermijn van een jaar aan voor ongeëvalueerde gegevens.
Toestemming achteraf
De AIVD heeft een aantal keer operaties uitgebreid zonder daar opnieuw toestemming voor te vragen. Vaak werd na afloop door de minister wel toestemming gegeven voor de uitbreiding, maar dat gebeurde pas nadat de diensten al in hun doelwit waren binnengedrongen.
Ook toestemming nodig voor fysieke hacks
Voor hacks op afstand moeten beide diensten de verantwoordelijke minister om toestemming vragen. Bij fysieke hacks, zoals een in beslag genomen computer, is bij de AIVD toestemming van de directeur van de dienst nu nog voldoende. De redenering daarvoor – dat een fysieke hack tijdelijker van aard is en daardoor een minder ernstige inbreuk op privacy – vindt de CTIVD allesbehalve overtuigend. De commissie adviseert daarom om ook voor fysieke hacks toestemming van de minister verplicht te stellen.
Risico’s van onbekende softwarelekken: zero days
De commissie gaat ook in op het gebruik door de diensten van kwetsbaarheden in digitale beveiliging. De CTIVD wijst vooral op het belang van kwetsbaarheden die nog niet algemeen bekend zijn bij gebruikers of softwareontwikkelaars: de zogenoemde zero days. De diensten hebben geen regels om dit soort lacunes aan te kaarten bij ontwikkelaars, ook niet als het beveiligingslek niet meer hoeft te worden stilgehouden voor het onderzoek. Hier moet verandering in komen, vindt de CTIVD.