DEN HAAG – De inlichtingendiensten AIVD en MIVD bewaren structureel gegevens die ze eigenlijk zouden moeten vernietigen. Dat schrijft de Commissie Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) in een dinsdag verschenen rapport.
De CTIVD nam alle hacks onder de loep die de diensten tussen 1 januari 2015 en 17 maart 2016 uitvoerden. De commissie concludeert dat AIVD en MIVD ''doorgaans weloverwogen te werk gaan’’, maar somt ook de manieren op waarop de inlichtingendiensten in strijd met de regels handelen.
Een daarvan is het niet wissen van gegevens hoewel dit volgens de regels wel zou moeten. Daarnaast hanteren de diensten nog steeds geen bewaartermijnen voor gegevens die nog moeten worden geëvalueerd. Daar waren eerder wel toezeggingen over gedaan aan de Tweede Kamer. ''Hiermee handelen de diensten onrechtmatig’’, concludeert de commissie. Ze raadt een maximale bewaartermijn van een jaar aan voor ongeëvalueerde gegevens.
De AIVD heeft een aantal keer operaties uitgebreid zonder daar opnieuw toestemming voor te vragen. Een voorbeeld: de dienst had toestemming om een laptop te hacken, maar voegde daar een losstaand internetaccount van hetzelfde doel aan toe. Vaak werd na afloop door de minister wel toestemming gegeven voor de uitbreiding, maar dat gebeurde pas nadat de diensten al in hun doelwit waren binnengedrongen.
Voor hacks op afstand moeten beide diensten de verantwoordelijke minister om toestemming vragen. Bij fysieke hacks, zoals een in beslag genomen computer, is bij de AIVD toestemming van de directeur van de dienst nu nog voldoende. De redenering daarvoor – dat een fysieke hack tijdelijker van aard is en daardoor een minder ernstige inbreuk op privacy – vindt de CTIVD allesbehalve overtuigend. De commissie adviseert daarom om ook voor fysieke hacks toestemming van de minister verplicht te stellen.
De commissie gaat ook in op het gebruik door de diensten van kwetsbaarheden in digitale beveiliging. De CTIVD wijst vooral op het belang van kwetsbaarheden die nog niet algemeen bekend zijn bij gebruikers of softwareontwikkelaars: de zogenoemde zero days. De diensten hebben geen regels om zulke gaten aan te kaarten bij ontwikkelaars, ook niet als het beveiligingslek niet meer hoeft te worden stilgehouden voor het onderzoek. Hier moet verandering in komen, vindt de CTIVD.
