De inlichtingendiensten AIVD en MIVD gaan "rechtmatig" om met datasets met persoonsgegevens die online worden aangeboden.

Dat concludeert de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) na onderzoek naar het gebruik van de 'bulkdata'.

Op internet zijn datasets met grote hoeveelheden aan gegevens beschikbaar. Die komen bijvoorbeeld beschikbaar als gevolg van datalekken of hacks bij bedrijven. Derden kunnen de gegevens beschikbaar stellen via een website of op fora.

De AIVD en MIVD halen zulke datasets ook van internet en gebruiken de gegevens voor hun taakuitvoering. Hiervoor gelden minder regels dan voor bijvoorbeeld het tappen dat de inlichtingendiensten zelf doen. 

De CTIVD heeft onderzocht hoe de inlichtingendiensten deze datasets verkrijgen en gebruiken. Daaruit blijkt dat het overgrote deel van de mensen die voorkomen in de datasets niet in de belangstelling van de diensten staan. 

Beleid

Inlichtingendiensten hebben zelf een beleid ontwikkeld om met deze datasets om te gaan. Daarin staat onder andere dat vooraf toestemming moet worden verkregen van onder meer de verantwoordeijk minister. Dat was bij één van de datasets niet gebeurd, terwijl dat wel had gemoeten.

De CTIVD noemt dat "onrechtmatig". De toezichthouder stelt dat een beperkt aantal mensen van de inlichtingendiensten toegang mag hebben tot de gegevens.

De grootste dataset, met gegevens van meer dan 100 miljoen mensen, bevat ook "relatief veel" informatie over Nederlanders.

Vernietigen

Ministers Ollongren (Binnenlandse Zaken) en Bijleveld (Defensie) schrijven in een brief aan de Tweede Kamer dat de datasets wel "voorzien in een duidelijke inlichtingenbehoefte en noodzakelijk waren om onder meer doelwitten van de diensten te identificeren".

De ministers nemen de aanbevelingen die de CITVD doet over. Eén daarvan is dat meteen na het verkrijgen ervan moet worden gekeken of alle data in de sets echt nodig zijn voor het werk van de diensten. Zo niet, dan moeten ze volgens de CITVD alsnog worden vernietigd.