Schansspringen 2: De buitenbak en de binnenbak

Het zijn er honderden, zo niet duizenden: gelekte en gehackte databestanden, die soms meer dan miljarden data aan persoonlijke gegevens bevatten. Van de hele bevolkingsadministratie van Turkije, via de gegevens van creditcardmaatschappij Equifax, de passwords van gebruikers van het platform MySpace, LinkedIn, Tumblr tot de allergrootste: de inloggegevens en passwords van Yahoo. Een mooi overzicht kan je hier vinden

En ja, de data zijn te koop. Volgens c’t magazine voor computer techniek tegen niet al te bizar hoge prijzen. Het blad schrijft dat voor een miljoen datarecords (e-mailadressen, wachtwoordhashes) van Dropbox-klanten niet meer dan honderdveertig dollar wordt gevraagd. De complete database met meer dan zeventig miljoen records gaat voor minder dan duizend dollar weg. Data van een LinkedIn-hack werden voor vijf bitcoins (destijds 2500 euro) aangeboden.

Gehackt

Er is trouwens een mooie site, ‘;-- have I been pwned, waarop je kan checken of je eigen data een keer voor zijn gekomen in een hack. Je moet dan onmiddellijk je password aanpassen, bij alle sites waar je dat password gebruikt.

En ja, ik dacht laat ik daar de test ook eens doen, en … O no – pwned! Ja hoor, ook mijn data zijn via drie hacks in verkeerde handen terecht gekomen, en wellicht te koop aangeboden op internet.

Maar wat heeft dat nu met de Wiv 2017 te maken, hoor ik je denken. Nou, van alles, zo bleek gisteren uit een rapport van de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD). Wat blijkt, mijn gehackte data zouden wel eens bij de AIVD kunnen liggen.

Bulkdatasets

Het is nogal wat, is dan ook m’n eerste reactie op de titel van het rapport: ‘Het verwerven van door derden op internet aangeboden bulkdatasets door de AIVD en de MIVD.’ Precies die data die ik hierboven beschreef.

Het bijzondere is namelijk dat er ontzettend veel data in zitten (bij de Yahoo-hack wordt gesproken over miljarden accounts). In het rapport wordt gerept over één dataset met wel meer dan honderd miljoen personen, van wie relatief veel Nederlanders.

De CTIVD is zoals altijd grondig te werk gegaan en heeft de hele procedure bij de diensten uitgebreid beschreven. In het kader van de mogelijkheid om ook op grote schaal data te verzamelen via informanten zijn de bevindingen zeer interessant.

Om te beginnen: wettelijk gezien is het aanschaffen van de bulkdata geen enkel probleem, concludeert de CTIVD, zowel niet onder de oude als de nieuwe Wiv. Open bronnenonderzoek, de informantenregeling of de agentenregeling, onder een van deze bevoegdheden zijn de bulkdatasets gewoon aan te schaffen.

Maar, denk ik dan, zijn dit allemaal mensen die een gevaar vormen voor de nationale veiligheid? Want dat is de groep waar de diensten zich op richten, de zogenaamde targets.

Non-targets

Maar daar komt dan toch de aap uit de mouw, zo lees ik verderop in het rapport van de CTIVD: de AIVD en MIVD mogen mijn gegevens wel degelijk verzamelen en niet alleen die van de targets. Zowel in de oude als in de nieuwe wet, waar het specifiek wordt bepaald in artikel 19, lid 5: ‘De diensten zijn bevoegd tot verwerking van gegevens omtrent andere personen, indien die gegevens een logisch en onlosmakelijk onderdeel vormen van de door de diensten te verwerven of verworven gegevensbestanden’.

Dit is nogal wat, zeker als ik in de Privacy Impact Assesment (PIA) lees dat er zorgen zijn op het gebied van privacyaantasting, het gaat immers om heel veel mensen. De onderzoekers schrijven dat lid 5 nauwelijks voorzienbaarheid bij wet oplevert, omdat het een categorie aanduidt: ‘iedereen, afhankelijk van in welk databestand dat de diensten verzamelen je toevallig zit’. En die voorzienbaarheid is een belangrijke eis van het Europees Hof van de Rechten van de Mens (EVRM).

Het belang is, kort door de bocht, dat er geen diensten gaan ontstaan die ongebreideld allerlei data verzamelen over mensen en organisaties die geen gevaar vormen voor de nationale veiligheid.

Maar, omdat het scherper definiëren van deze bevoegdheid ook behoorlijk ingewikkeld is, stelt het PIA: ‘is het in het licht van de privacyrisico’s van irrelevante personen wezenlijk dat de verzamelde gegevens zo snel mogelijk worden onderzocht en dat niet-relevante gegevens direct worden verwijderd.’

Er is echter gekozen voor een andere werkwijze, zo blijkt uit het rapport van de CTIVD. Een werkwijze waarin geen dataminimalisatie wordt toegepast, maar een interne procedure die voorkomt dat data van non-targets verder verwerkt gaan worden door de diensten.

Buitenbak – Binnenbak

In interne beleidsregels is vastgelegd dat de bulkdata intern verstrekt worden op basis van het need to know-principe. De verkregen dataset wordt in een ‘buitenbak’ geplaatst waar operationele teams niet bij kunnen. De buitenbak is alleen direct toegankelijk voor een klein aantal technische beheerders en een deel van de data-analisten van de AIVD. Ook een select aantal medewerkers van de MIVD heeft toegang tot de buitenbak, zo schrijft de CTIVD.

Middels een intern zoeksysteem kunnen operationele medewerkers namen, nummers, e-mailadressen invoeren, op voorwaarde dat ze goed kunnen motiveren waarom ze deze zoeken voor hun operationele onderzoek. Als er een hit in de ‘buitenbak’ is worden alleen die data verplaatst naar een ‘binnenbak’. Interne scheiding van targets en non-targets, zeg maar.
Data in de buitenbak blijven drie jaar toegankelijk.

Dat geeft me dan toch wel enige opluchting, dat de diensten middels een soort eigen digitale kluis aan databeperking doen.

Beleidsnotitie

Deze extra, en zoals de CTIVD terecht schrijft ‘bovenwettelijke’ waarborgen, staan ook duidelijk beschreven in een interne beleidsnotitie. Maar ‘een kanttekening daarbij is wel dat een deel van de procedurele waarborgen niet publiekelijk toegankelijk is en daarmee niet kenbaar is, omdat zij alleen in intern beleid staan beschreven’ concludeert de CTIVD. Intern beleid dat ook weer kan wijzigen? Wellicht valt dit, samen met andere punten van de wet nog aan te scherpen door de procedure wel wettelijk vast te leggen.

Dat moet toch mogelijk zijn: bijvoorbeeld artikel 19 lid 5 sub b:

‘verdere verwerking van de aldus verkregen gegevens zal pas dan plaatsvinden indien voldaan wordt aan het eerste en tweede lid.’

Een belangrijke restrictie aan het gebruik van bulkdata is nu intern beleid, een situatie die niet gewenst is. Zeker nu het om zo veel data gaat, zou de procedure beter in de wet vastgelegd moeten worden.