Een toezichtsrapport dat vandaag verschijnt legt bij de Nederlandse inlichtingendiensten precies de twee zwakke plekken bloot waar vrijwel elk bedrijf onder de AVG mee worstelt: persoonsgegevens die te lang blijven staan, en te veel mensen die erbij kunnen. De Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) concludeert dat de AIVD en de MIVD bij het verwerken van grote databestanden onvoldoende zorgvuldig omgaan met de persoonsgegevens die ze verzamelen. Voor de diensten is dat een rechtmatigheidsprobleem. Voor een gewone organisatie is het een spiegel: als partijen met dit mandaat en budget hierop struikelen, is de kans klein dat jouw databeheer wel op orde is.
Wat de CTIVD constateerde
Het gaat om Toezichtrapport nr. 84, dat draait om de verwerking van bulkdata: omvangrijke verzamelingen persoonsgegevens die soms miljoenen regels bevatten, met namen, telefoonnummers, locatiegegevens, informatie uit sociale media en de inhoud van communicatie. De diensten gebruiken zulke datasets om patronen en netwerken te herkennen, maar de wet stelt harde grenzen aan hoe lang die gegevens mogen blijven staan en wie ermee mag werken.
Op beide punten schoot het mis. De commissie stelt vast dat de diensten grote hoeveelheden persoonsgegevens in meerdere gevallen te lang bewaarden en dat groepen medewerkers onrechtmatig toegang hadden tot die gegevens. De wet schrijft voor dat data na verwerving maar beperkte tijd bewaard mag blijven en dat slechts een beperkt aantal mensen ermee mag werken. De oorzaken lagen volgens de CTIVD in technische tekortkomingen in de systemen en in procedures die de naleving niet afdwongen. De commissie doet dertien aanbevelingen om de bescherming van de persoonlijke levenssfeer te verbeteren.

Geen incident, maar een structureel patroon
De verantwoordelijke ministers van Binnenlandse Zaken en van Defensie laten weten het beeld te herkennen dat de CTIVD schetst en de tekortkomingen aan te pakken; de aanbevelingen worden meegenomen in de aanstaande herziening van de Wet op de inlichtingen- en veiligheidsdiensten. Dat is precies het punt: dit zijn geen eenmalige uitglijders, maar structurele gaten tussen wat de regels eisen en wat de systemen in de praktijk afdwingen.
Dit staat overigens los van de Russische phishingcampagne op back-ups van Signal-herstelsleutels waarvoor dezelfde diensten vandaag organisaties waarschuwden: dat is een externe dreiging, terwijl dit rapport gaat over hoe de diensten zelf met verzamelde data omgaan. Twee losse verhalen op dezelfde dag, met dezelfde afzender.
Wat dit betekent voor jouw bedrijf
Strip de context van staatsveiligheid weg en er blijven twee AVG-basisregels over die de diensten hier overtraden, en die in het bedrijfsleven net zo vaak sneuvelen.
De eerste is opslagbeperking: je mag persoonsgegevens niet langer bewaren dan nodig voor het doel waarvoor je ze verzamelde. In de praktijk betekent dat concrete bewaartermijnen per soort gegeven, vastgelegd en vervolgens ook technisch afgedwongen. De meeste organisaties hebben het eerste wel op papier, maar niet het tweede: oude klantexports, verlopen sollicitatiedossiers en volgelopen logbestanden blijven jarenlang staan omdat niets ze automatisch opruimt. Precies het mechanisme dat de CTIVD bij de diensten aanwijst, technische tekortkomingen die naleving niet afdwingen.
De tweede is toegangsbeperking, oftewel least privilege: alleen wie de gegevens echt nodig heeft, mag erbij. Dat groepen medewerkers onrechtmatig toegang hadden, is geen exotisch inlichtingenprobleem. Het is de standaardsituatie in bedrijven waar iedereen bij het gedeelde klantbestand kan, waar rechten na een functiewisseling nooit worden ingetrokken, en waar niemand logt wie welke gegevens inzag. Onder de AVG is dat een tekortschietende beveiliging, en bij een datalek is het het eerste waar een toezichthouder naar vraagt.
De rode draad is bekend: het AVG-risico zit zelden in de techniek zelf, maar in slordige dataomgang rond doelbinding, datascheiding en toegangsrechten. Een rapport over inlichtingendiensten voelt ver weg, maar de twee fouten zijn universeel. Loop je eigen huishouding er eens langs: weet je van elk gegevensbestand hoe lang het mag blijven staan, en kun je op elk moment laten zien wie erbij kan? Kun je op geen van beide vragen hard antwoord geven, dan staat je organisatie dichter bij de bevindingen van dit rapport dan je zou willen.
Veelgestelde vragen
Bewaartermijnen en toegang op orde
Dezelfde twee fouten uit dit rapport zie ik overal: data die blijft staan en toegang die te ruim is. Ik help je dat end-to-end oplossen, van meedenken over je databeleid tot het inrichten en automatiseren van opschoning en least-privilege-toegang, self-hosted waar dat kan.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
