Onacceptabele verwaarlozing privacyregels bij opsporingsdiensten
Drie keer is scheepsrecht, zou je denken. Niet bij de opsporingsdiensten. Uit onze analyse van een intern rapport van Justitie blijkt dat zij voor het derde opeenvolgende jaar de privacy- en gebruiksregels negeren bij het opvragen van klantgegevens uit de centrale telecom-databank CIOT. Tegelijkertijd overweegt Justitie alle bel- en internetgegevens via het CIOT opvraagbaar te maken. Hoog tijd dat onze politici ingrijpen.
Opsporingsdiensten (zoals de politie, FIOD, AIVD) vragen de klantgegevens – zoals naam, adres, (mobiele) telefoonnummers, e-mail- en ip-adressen – drie miljoen keer per jaar op via het CIOT, het Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT). Het ‘Eindrapport audit CIOT 2009’ laat zien dat de diensten het CIOT zonder bevoegdheid raadplegen, dat de rechtmatigheid van de bevragingen niet wordt gecontroleerd en dat het gehele proces onvoldoende wordt gedocumenteerd. Misstanden kunnen nu plaatsvinden én onopgemerkt blijven.
In de audit CIOT 2008 (PDF) van een jaar eerder signaleerden wij al aantal bijzonder zorgwekkende ontwikkelingen, die destijds binnen 3 tot 12 maanden verholpen moesten worden (audit CIOT 2008, p. 9 e.v.). Die zorgpunten vatte Bits of Freedom al samen in een analyse met de volgende kernpunten:
a. in cruciale gevallen wordt ten onrechte geen proces verbaal opgesteld;
b. er is geen controle van de bevragingen van het CIOT;
c. persoonsgebonden PIN-codes voor het CIOT worden ten onrechte onderling uitgewisseld;
d. corrigerende maatregelen bij onrechtmatige bevraging blijven uit;
e. de kennis van wet- en regelgeving van een deel van de betrokkenen is onvoldoende;
f. opsporingsambtenaren vragen historische gebruiksgegevens zonder de vereiste bevoegdheid op; en
g. de BOID ervaren de privacybeschermende maatregelen als administratieve last, zodat de voorgeschreven procedures niet gevolgd worden.
De onderzoekers schrijven in de audit CIOT 2009: ‘over de gehele linie genomen constateren wij bij de BOID’s [Bijzondere Opsporings- en Inlichtingendiensten] een situatie vergelijkbaar met 2008. (…) De aanbevelingen [van 2008] blijven dus onverkort van kracht en dienen naar onze mening met hoge prioriteit te worden aangepakt’ (audit CIOT 2009, p. 17). Op een paar uitzonderingen na, blijkt er in de tussentijd dus niets te zijn gebeurd. Bovendien ‘bestaan [er] in verschillende mate intenties om dat (alsnog) te doen’ (audit CIOT 2009, p. 8). Dit suggereert dat bij sommige opsporingsdiensten zelfs de wil ontbreekt om zich aan de regels te houden.
De audit CIOT 2009 legt de vinger op de zere plek, toch baart het onderzoek zelf ons ook zorgen. Het is de eerste keer dat de audit niet gerealiseerd is door een onafhankelijk partij, maar door de interne auditdiensten van de overheid. Verder is de reikwijdte van de audit CIOT 2009 beknot: de auditeurs hebben onderzocht of de aanbevelingen uit 2008 zijn opgevolgd, maar zijn niet ingegaan op eventuele nieuwe misstanden.
Voor het Ministerie van Justitie komt de audit CIOT 2009 op een ongelukkig moment naar buiten. Na de inwerkingtreding van de Wet bewaarplicht telecommunicatiegegevens onderzoekt het ministerie of de rol van het CIOT fors uitgebreid kan worden. Zo overweegt Justitie de historische klantgegevens – alle klantgegevens van het afgelopen jaar – en alle verkeersgegevens (wie met wie op welk moment belt, sms’t en e-mailt en waar diegenen zich bevinden) centraal opvraagbaar te maken. Voor Bits of Freedom kan hier geen sprake van zijn. Eerst moeten de bestaande problemen opgelost worden, voordat nieuwe mogelijkheden voor ongehoorzame opsporingsdiensten in het leven geroepen worden.
De gegevensgrabbelaar
De problemen rondom het CIOT stapelen zich op. Ondertussen loopt de teller door. Er is geen sprake meer van incidenten, maar van structurele problemen. Hoog tijd dat onze volksvertegenwoordigers de demissionair minister van Justitie en Binnenlandse Zaken tot de orde roepen, voordat onrechtmatigheden en gemakzucht normaal worden. Niemand komt weg met het structureel negeren van regelgeving, ook de overheid niet.
Alle rapporten zijn te vinden op de website van onderzoeker Rejo Zenger, die alle rapporten over het CIOT boven tafel kreeg met een beroep op de Wet openbaarheid bestuur.