Inlichtingendiensten slaan onterecht data uit hacks op
De Nederlandse inlichtingendiensten AIVD en MIVD verwijderen gegevens die zij via hacks hebben verzameld structureel niet, zelfs als de gegevens irrelevant zijn of niet van een doelwit blijken te zijn. Het ontbreken van een werkwijze voor het vernietigen van deze gegevens is zonder meer onrechtmatig, concludeert de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) in een dinsdag gepubliceerd rapport.
Beide inlichtingendiensten mogen al langer gericht computers hacken om inlichtingen te verzamelen uit bijvoorbeeld harde schijven en e-mailaccounts. Daarvoor moet zij wel toestemming krijgen van de minister van Binnenlandse Zaken, of in het geval van de MIVD de minister van Defensie. Uit het rapport blijkt dat voor één hack geen toestemming was.
De toezichthouder onderzocht ‘tientallen hackoperaties’ uit 2015 en hoewel de diensten bij het overgrote deel van de hacks rechtmatig heeft gehandeld stuitte de CTIVD op meerdere tekortkomingen. Belangrijkste is dat de diensten “structureel nalaten gegevens te vernietigen op momenten dat dit wel zou moeten”.
Ook schieten de inlichtingendiensten tekort in de omgang met zogeheten ‘zero-days’: lekken in software die nog niet door de fabrikant zijn gedicht. Die kwetsbaarheden moeten na gebruik in principe worden gemeld bij de fabrikant, zodat ze kunnen worden opgelost, met name als ze populaire software of apparaten treffen. Deze werkwijze is echter niet op papier vastgelegd, constateert de CTIVD. Het kan daarom ook voorkomen dat kwetsbaarheden niet worden gemeld.
Ministers Plasterk en Hennis (Defensie) schrijven in een reactie aan de Tweede Kamer dat zij de aanbevelingen van de CTIVD overnemen. Een bewaartermijn wordt ingevoerd als de omstreden Wet op de inlichtingen- en veiligheidsdiensten (Wiv) door de Eerste Kamer worden goedgekeurd. In februari werd het wetsvoorstel al aangenomen door de Tweede Kamer.
Praat mee