De inlichtingen- en veiligheidsdiensten AIVD en MIVD werken aan het verbeteren van de waarborgen bij het gebruik van bulkdatasets. Dat schrijven ministers Heerma van Binnenlandse Zaken en Yeşilgöz-Zegerius van Defensie aan de Tweede Kamer. Aanleiding is een rapport van de Commissie van Toezicht op de Inlichtingen en Veiligheidsdiensten (CTIVD). In dit rapport concludeert de commissie dat de diensten hun voorwaarden voor grootschalige dataverwerking een tijd niet op orde hadden. 

De CTIVD erkent dat bulkdatasets van groot belang zijn voor de goede uitvoering van de taken van de diensten. Zo zijn ze belangrijk voor de diensten om ongekende dreigingen te onderkennen tegen de (inter)nationale veiligheid. Tegelijkertijd kan het gebruik van bulkdatasets een aanzienlijke privacy inbreuk met zich meebrengen. Het is daarom volgens de toezichthouder noodzakelijk dat er voldoende waarborgen zijn rondom de verwerking van bulkdatasets. 

De toezichthouder constateert dat de huidige wet hiervoor voldoende waarborgen biedt. Tegelijkertijd stelt de CTIVD vast dat in de uitvoering en (technische) implementatie van die waarborgen niet goed is uitgevoerd. Zo hadden groepen medewerkers onrechtmatig toegang tot persoonsgegevens. Ook werden grote hoeveelheden persoonsgegevens in meerdere gevallen te lang bewaard. De verantwoordelijk ministers en de beide diensten onderschrijven dit en nemen passende maatregelen. 

Maatregelen

De versnippering van het datalandschap en het stelsel van waarborgen voor de verwerking van bulkdatasets, zorgt voor administratieve druk. Dat vergroot het risico op menselijke fouten. Al voorafgaand aan en tijdens de uitvoering van het onderzoek hebben de diensten zelfstandig verschillende risico’s en kwetsbaarheden geïdentificeerd en proactief bij de CTIVD gemeld. 

In verschillende gevallen hebben deze risico’s daadwerkelijk geleid tot compliance-incidenten. Naar aanleiding van deze incidenten hebben de diensten direct maatregelen getroffen om dergelijke incidenten te detecteren, aan te pakken en in de toekomst te voorkomen. Het betreft maatregelen op het gebied van autorisatiebeheer en toegangsmanagement. Ook gaat het om maatregelen om het bewustzijn bij medewerkers te vergroten om volgens de procedures te werken. 

De eerste belangrijke stappen naar verbetering op het bulkdatasetdossier zijn zodoende al gezet. Tegelijkertijd is duidelijk dat meer structurele maatregelen nodig zijn. Over de precieze invulling en voortgang daarvan blijven de diensten in gesprek met de CTIVD, aldus de bewindspersonen.