AIVD en MIVD slaan onterecht data uit hacks op

Inlichtingendiensten AIVD en MIVD bewaren structureel data die ze ten onrechte hebben verzameld uit hacks.

Het ontbreken van een werkwijze voor het vernietigen van deze gegevens is zonder meer onrechtmatig, concludeert de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) in een rapport. Daaruit blijkt ook dat de MIVD (Militaire Inlichtingen- en Veiligheidsdienst) voor één hack geen toestemming had.

Beide inlichtingendiensten mogen al langer gericht computers hacken om inlichtingen te verzamelen uit bijvoorbeeld harde schijven en e-mailaccounts. Daarvoor moet zij wel toestemming krijgen van de minister van Binnenlandse Zaken, of in het geval van de MIVD de minister van Defensie.

Data niet vernietigd

De toezichthouder onderzocht 'tientallen hackoperaties' uit 2015 en stuitte daarbij op meerdere tekortkomingen. "De belangrijkste daarvan is dat de diensten structureel nalaten gegevens te vernietigen op momenten dat dit wel zou moeten", schrijft de commissie, die daarbij wijst op de toezegging die Plasterk in 2014 aan de Tweede Kamer deed voor de invoering van bewaartermijnen.

Ook schieten de inlichtingendiensten tekort in de omgang met zogeheten 'zero-days': lekken in software die nog niet door de fabrikant zijn gedicht. Zo is er nu geen werkwijze of verantwoording bij het melden van deze voor criminelen lucratieve kwetsbaarheden. Een onzorgvuldige werkwijze, aldus de CTIVD.

Plasterk en Hennis

Ministers Plasterk (Binnenlandse Zaken) en Hennis (Defensie) reageren in een gezamenlijke brief aan de Tweede Kamer. Daarin schrijven zij dat alle aanbevelingen uit het rapport worden overgenomen. Voor de invoering van een bewaartermijn moet wel eerst de omstreden Wet op de inlichtingen- en veiligheidsdiensten (Wiv)​ door de Eerste Kamer worden goedgekeurd. In februari werd het wetsvoorstel al aangenomen door de Tweede Kamer.