Bevragen klantgegevens internet- en telecombedrijven onrechtmatig

ANALYSE - De politie leeft richtlijnen voor het opvragen van privacygevoelige informatie niet goed na. Daar moet minister Opstelten consequenties aan verbinden.

2,3 miljoen keer bevroegen politie en justitie het Centraal Informatiepunt Onderzoek Telecommunicatie – de database met klantgegevens van internet- en telecombedrijven. En dat is exclusief de bevragingen van AIVD en MIVD. Politie en justitie wroeten graag en vaak in de klantgegevens. Altijd handig om te weten wie er achter een telefoonnummer of e-mailadres schuilgaat.

Probleem met deze (ontzettend lelijk woord) bevragingen is dat ze al een tijdje onrechtmatig worden uitgevoerd. Zoals in 2011 al werd geconstateerd door Justitie zelf: Toen dreigde Opstelten ‘dat de korpsen vanaf 1 mei 2011 aan alle vereisten rond bevragingen via het CIOT moeten voldoen. Anders wordt de toegang tot het CIS voor het betreffende korps tijdelijk afgesloten.’ De vraag luidt: is dat nu dan het geval? Waarschijnlijk wel, want een aantal korpsen voldoet nog altijd niet aan gestelde eisen en zit, als de minister woord houdt, al een tijdje zonder toegang tot de gegevens.

Wat is het probleem? Richtlijnen worden niet nageleefd en het digitale speurwerk in de privacygevoelige informatie (de database koppelt de e-mailadressen, ip-nummers en telefoonnummers aan de gegevens in het bevolkingsregister) gaat zonder enige vorm van verslaglegging. De politiekorpsen doen maar wat en leggen daar op geen enkele manier verantwoording voor af. Namen en nummers worden bij elkaar gesprokkeld en niemand weet of het mag. Dat concludeert tenminste het Hoofd van de Inspectie Veiligheid en Justitie, de heer Bos. Kanttekening: waar de papierwinkel op orde is, blijkt niets aan de hand. Waar dat niet het geval is, is het een ratjetoe. En zoals gezegd: dat was al eerder het geval en dat blijkt eind vorig jaar nog steeds niet in orde te zijn:

Vastgesteld wordt dat deze constateringen medio 2012 nog niet hebben geleid tot een adequate landelijke aanpak door de politiekorpsen en het ministerie van VenJ.

en

In het algemeen is het bevragingsproces gedeeltelijk beschreven, waardoor een juiste uitvoering van dit proces niet is geborgd.

Drie aanbevelingen doet de heer Bos, waarvan de belangrijkste – zo snel mogelijk duidelijke voorschriften die voor heel Nederland gelden – met de Nationale Politie toch eenvoudig te implementeren moeten zijn. Het korps dat nu nog in het wilde weg namen aan ip-adressen of e-mails wil koppelen, zal toch echt voor straf een tijdje geen toegang tot het CIOT moeten krijgen. Ook voor hen geldt dat ze zich gewoon aan de regels moeten houden. In ieder geval om te voorkomen dat in een zaak mogelijk kan blijken dat (opsporings)informatie onrechtmatig is verkregen en de goegemeente weer over een rechter valt die zijn werk wel netjes probeert te doen.

Via VanderLubben.

  1. 3

    @2 Grasduinen door een database is niet strafbaar. Je ongeoorloofd toegang verschaffen tot een database wel. Politiekorpsen hebben wel toegang tot deze databases. Ze zijn dus niet strafbaar. Ze mogen er echter alleen in zoeken volgens bepaalde regels. En die regels overtreden ze.

  2. 4

    2,3 miljoen keer plus AIVD plus MIVD…

    Dus ongeveer 1 op de 5 Nederlanders wordt ieder jaar onderworpen aan een politie onderzoek?

  3. 5

    “(de database koppelt de e-mailadressen, ip-nummers en telefoonnummers aan de gegevens in het bevolkingsregister)”

    Onzin. Er is geen koppeling met het bevolkingsregister. Er is een koppeling tussen NAW-gegevens (die de klant zelf heeft opgegeven bij de provider) en telefoonnummer, ip-adres of emailadres.
    Het lijkt mij hier vooral dat Sebastiaan niet precies weet hoe deze processen werken.

    Overigens mogen er veel meer instanties gebruik maken van CIOT-gegevens, dan Sebastiaan doet voorkomen. Dit zijn Opsporingsdiensten (Politie, Rijksrecherche, Koninklijke Marechaussee (KMAR), Landelijk Parket- Openbaar Ministerie en 112), Bijzondere opsporingsdiensten (Fiscale Inlichtingen- en Opsporingsdienst (FIOD), Algemene Inspectiedienst (AID), Inlichtingen- en Opsporingsdienst (IOD), Inspectie SZW (voorheen SIOD) en Inspectie voor de Gezondheidszorg (IGZ)), en Inlichtingen- en veiligheidsdiensten (Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en Militaire Inlichtingen- en Veiligheidsdienst (MIVD)).
    Staat gewoon op http://www.ciot.nl

    En dan uit hetzelfde rapport waar Sebastiaan selectief uit citeert:
    “De Inspectie en de DAD zien het ontbreken van documenten als een administratieve omissie. Maar het ontbreken van de vereiste documenten wil niet zeggen dat er sprake is van onrechtmatige bevraging.”

    Tja. Het lijkt me dat minister Opstelten WEL harder moet optreden om ervoor te zorgen dat de aanbevelingen van de Inspectie en de DAD worden opgevolgd, maar dat Sebastiaan NIET moet doen alsof politie-agenten “in het wilde weg” de burger te grazen nemen.

    Dit is alleen maar meer argumentatie voor (long overdue) vorming van de Nationale Politie. Maar ja, fuseer maar eens 26 organisaties in 1 landelijke organisatie…

  4. 6

    @4: Nee. Het gaat hier om ip-adressen, emailadressen, telefoonnummers en namen. Hoeveel dat er zijn in totaal in Nederland weet ik niet, maar het zijn er in ieder geval meer dan 5*2,3 miljoen.

  5. 7

    @5: het is wel tekenend hoe vaak justitie allerlei procedures uitsluitend ziet als administratieve last en niet als essentieel toezicht die van belang is in een rechtstaat. Justitie zet zo de controles op de rechtmatigheid buiten spel, en doet alsof dat niets uitmaakt.

  6. 9

    @7: ik ben het helemaal met je eens. Echter, wat de Inspectie (ook Justitie trouwens) voorstelt is slechts dat er een auditsysteem komt dat alleen maar checkt of de papiertjes in orde zijn. Dat is dus niet een check op rechtmatigheid. Die ligt ergens anders, namelijk bij diegene die gemandateerd is om de CIOT-bevraging te doen.

  7. 11

    @8
    Aan je ‘min’ score te zien zit hier een AIVD’er te reageren…
    Idd is TOR een mooi iets. Niet alleen wordt al het data verkeer gecodeerd maar ook is niet te achterhalen met welke eindbestemming je contact hebt en visa-versa. Maw, Big Brother staat compleet machteloos.

  8. 12

    @10:
    Ze zullen toch beduidend meer zoektijd nodig hebben om de bezigheden van de gebruikers te achterhalen.
    Zie ook onder @11.
    Ga er bovendien maar vanuit dat misdadigers zich allang van TOR en nog wat van die foefjes bedienen.
    Een beetje echt slimme inlichtingendienst zou in het diepste geheim zelf zoiets hebben opgezet om nog wat gegevens aan de ingang te verzamelen.

  9. 14

    @13: Met het TOR netwerk kom je via een stuk of 5 servers, over de hele wereld, pas bij de eindbestemming terecht. Geen één van deze weet tegelijk de bron en eindbestemming. Tevens hebben de servers geen idee wat voor gecodeerde data ze doorsturen (behalve de laatste in het netwerk!). En met één druk op de knop bouw je weer een volgende route op.
    Inlichtingendiensten moeten alle servers (waar ook ter wereld) in beheer hebben, willen ze een idee krijgen wat je aan het doen bent op het net. Ik betwijfel dat.

  10. 15

    @13:
    Veilig ja:
    Voor zover het surfgedrag naar https sites betreft wel.
    (De meeste gebruikers van Tor zullen dit doen wat dan ook clandestien te downloaden.)
    “Samen” via TOR ongure chatrooms bezoeken houdt de politie (gelukkig) niet bij de deur weg.
    Inloggen op mailaccount nee.
    Indien misdadigers of hobbyisten veilig willen mailen moet dat versleuteld; bovendien is een eigen mailserver, om geen nieuwsgierige snuffelaars aan te trekken, nooit weg

  11. 16

    @5: Je hebt gelijk – de NAW gegevens zijn geen gegevens uit het bevolkingsregister. Blijft het wel pijnlijk dat het ministerie zelf aangeeft dat het maar niet lukt volgens gestelde regels die gegevens te lichten. Ik kan mij niet beroepen op ‘adminstratieve ommissies’ – die administratie is er om te reconstrueren hoe rechtmatig het opvragen precies was. Dus essentieel.