Praktijk illustreert noodzaak kritische evaluatie bewaarplicht
Om het ministerie van Veiligheid en Justitie te helpen, hebben we hen uitgelegd wat belangrijk is om mee te nemen bij de evaluatie van de bewaarplicht. Dat is de wet op grond waarvan jouw communicatiegedrag tot één jaar bewaard moet worden. Twee recente voorbeelden illustreren haarfijn waarom een kritische evaluatie echt nodig is.
Het ministerie is nu druk bezig met de evaluatie van de bewaarplicht. Vorige maand hebben we onderzoekers van het ministerie uitgelegd dat zij vooral moeten kijken naar de enorme inbreuk op jouw privacy. Bits of Freedom heeft vandaag een nieuwe brief aan het ministerie gestuurd. In de brief wijzen we het ministerie op twee recente voorbeelden uit de praktijk die illustratief zijn voor enkele van de door ons genoemde aandachtspunten.
Onbevoegde toegang tot verkeersgegevens van klanten Simpel.nl
Eén van de voorbeelden is het datalek bij Simpel.nl. Daarbij zijn oude gegevens over het belgedrag van klanten voor onbevoegden toegankelijk geweest. Hoewel details ontbreken kun je wel drie belangrijke conclusies trekken:
- De opgeslagen verkeersgegevens werden onvoldoende beveiligd. De gegevens stonden in dit geval leesbaar op een met het internet verbonden systeem dat gedeeld werd met andere bedrijven.
- De gebrekkige beveiliging heeft tot onbevoegde toegang tot zeer persoonlijke gegevens geleid. Grootschalige opslag van gevoelige gegevens vergroot het risico op een datalek.
- Indien de verkeersgegevens in het kader van de bewaarplicht opgeslagen waren, dan zijn de gegevens niet tijdig verwijderd. De opgeslagen gegevens over het belgedrag van gebruikers moeten voor de duur van één jaar bewaard worden, waarna zij binnen acht dagen verwijderd moeten zijn.
Gegevens van burgers niet veilig bij politie
Ook wijzen we het ministerie op ons eigen onderzoek naar de naleving van de Wet politiegegevens door de politie. Het resultaat was ontluisterend. Werkelijk geen enkel korps voldoet aan alle wettelijke regels. Twaalf korpsen halen voor de helft van de criteria het niveau “voldoet op hoofdlijnen” niet. Slechts drie korpsen scoren op meer dan driekwart van de normen een voldoende. De bewaarplicht is bedoeld om te garanderen dat opsporings- en inlichtingendiensten over gegevens van het communicatiegedrag van burgers kunnen beschikken. Maar met de bescherming van persoonsgegevens bij de politie is het dus diep triest gesteld, zo blijkt nu.
Grootschalig gevoelige gegevens opslaan is risicovol
Het ministerie moet onderzoeken of de beveiliging van de gegevens voldoende is, of onbevoegde toegang tot gegevens voorkomen wordt en of de gegevens ook weer tijdig verwijderd worden. We vertrouwen erop dat het ministerie een grondige evaluatie maakt. Aan een gebrek aan praktijkvoorbeelden hoeft het niet in ieder geval niet te liggen.