Open Kaart: Dubieuze dataverzoeken van de overheid

Author
Joey de Jong

In mijn zoektocht naar wat de overheid over haar burgers weet kom ik een groot aantal organisaties en databases tegen waarvan ik het bestaan niet kende. Het zo goed mogelijk in kaart brengen van deze databases vergt veel onderzoek waar ik voorlopig nog wel even zoet mee ben. Maar natuurlijk heeft de overheid niet alle data zelf in huis. De persoonlijke gegevens die bedrijven over ons verzamelen, en die wij achterlaten op het internet, hebben uiteraard ook de interesse van onze overheid gewekt.

Of je nu een potje Angry Birds speelt, een belletje pleegt of reist met je OV-chipkaart, je ontkomt er niet aan dat je persoonlijke gegevens in een of andere database terecht komen waar je vervolgens nauwelijks meer zicht op hebt. Deze databases zijn interessante informatiebronnen waar opsporings-, veiligheids- en inlichtingendiensten maar al te graag doorheen spitten.

Gebrek aan goede motivatie
Om deze data te kunnen bekijken moet er een goede reden zijn, maar die blijkt in de praktijk niet altijd aanwezig. De belastingdienst die om alle parkeergegevens van alle klanten van een parkeerbedrijf vraagt om fraude door leaserijders te kunnen ontdekken gaat duidelijk een stap te ver. Gelukkig deelde de rechter deze mening en dus kreeg de Belastingdienst de gegevens niet.

Maar ook het opvragen van klantgegevens van telecom- en internetbedrijven gebeurt vaak onder dubieuze omstandigheden. Opsporingsdiensten doen dit via het Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT), waar providers elke 24 uur verplicht een actueel bestand met klantgegevens (e-mail adressen, telefoonnummers, IP-adressen etc.) moeten aanleveren. Deze informatie mag alleen opgevraagd worden als het nodig is voor onderzoek, maar je kunt je afvragen hoe goed dit gecontroleerd wordt als sommige politiekorpsen de CIOT-database blijken te gebruiken om gegevens van honderden mensen tegelijk binnen te slepen.

De omstreden wet bewaarplicht telecommunicatiegegevens ligt al langer onder vuur, maar zojuist kwam er uit Brussel een opmerkelijk tegengeluid. Het Europese Hof van Justitie heeft de bewaarplicht namelijk ongeldig verklaard, omdat er sprake zou zijn van een “ernstige inmenging in de fundamentele rechten op eerbiediging van het privéleven en op bescherming van persoonsgegevens”. Helaas lijkt de Nederlandse overheid zich weinig aan te trekken van deze uitspraak.

Kennelijk heeft de EU het beter voor met onze privacy.

Transparantierapporten
De CIOT-database is in 2012 ruim 2,7 miljoen keer geraadpleegd, 17 procent meer dan het jaar daarvoor. Daarnaast is Nederland ook wereldwijd koploper in het aftappen van telefoonverkeer. Opvallend genoeg is onze overheid een stuk minder actief in het opvragen van gegevens bij de bekende Amerikaanse internetbedrijven, als we hun zogeheten transparency reports mogen geloven.

Zo werd Google in 2013 door de Nederlandse overheid in totaal 98 keer om gebruikersgegevens gevraagd, waarbij er informatie over 109 accounts/gebruikers werd gezocht. Bij Facebook werden er de eerste helft van 2013 slechts 11 dataverzoeken gedaan over 15 accounts, en bij Twitter lijkt dit aantal voor heel 2013 ook onder de 20 te liggen. Microsoft kreeg er in 2013 iets meer: 749 over 2265 accounts. Een belangrijke kanttekening is dat bij lang niet al deze verzoeken ook daadwerkelijk informatie geleverd is, bijvoorbeeld omdat er niets is gevonden of omdat het verzoek geweigerd is door het bedrijf zelf. Verdere gegevens daarover ontbreken.

Geheim of geheimzinnig?
Afgaande op deze cijfers lijkt het mee te vallen. Echter, in deze rapporten ontbreken de vorderingen van de Nederlandse geheime diensten, de AIVD en MIVD, die onder het staatsgeheim vallen. En laat nu net duidelijk zijn geworden dat zij hun zaken ook niet helemaal op orde hebben.

“De AIVD zoekt naar speldjes in een hooiberg”, vertelde Wim Saris, directeur Strategie en Beleid van de AIVD, in een lezing die ik laatst bezocht. Maar hacken van webfora, hele databases met gebruikersgegevens leegzuigen en combineren met gegevens van andere sociale media (zoals blijkt uit een gelekt NSA document wijst er meer op dat de gehele hooiberg wordt binnen gehaald. 

Of het nu de Belastingdienst, de politie of de AIVD is, er wordt gretig naar onze persoonlijke gegevens gezocht die bij andere bedrijven liggen opgeslagen, en wij hebben geen goed zicht op wat er met die gegevens gebeurt. Maar dat deze overheidsdiensten een geheimplicht hebben betekent niet dat ze geheimzinnig moeten doen. En al helemaal niet dat ze de wet kunnen negeren.

Over de auteur

  • Joey de Jong was responsible for the project 'Open Kaart' (personal data research) of the Future Internet Lab of Waag.