Een goudkleurig hangslot op een computertoetsenbord
Nieuws1 juli · 10:105 min leestijd

Toezichthouder: AIVD en MIVD bewaren persoonsgegevens te lang en te veel medewerkers kunnen erbij

Een nieuw CTIVD-rapport legt bij de inlichtingendiensten precies de twee fouten bloot waar elk bedrijf onder de AVG mee worstelt: gegevens die te lang blijven staan en te ruime toegang tot die gegevens.

Een toezichtsrapport dat vandaag verschijnt legt bij de Nederlandse inlichtingendiensten precies de twee zwakke plekken bloot waar vrijwel elk bedrijf onder de AVG mee worstelt: persoonsgegevens die te lang blijven staan, en te veel mensen die erbij kunnen. De Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) concludeert dat de AIVD en de MIVD bij het verwerken van grote databestanden onvoldoende zorgvuldig omgaan met de persoonsgegevens die ze verzamelen. Voor de diensten is dat een rechtmatigheidsprobleem. Voor een gewone organisatie is het een spiegel: als partijen met dit mandaat en budget hierop struikelen, is de kans klein dat jouw databeheer wel op orde is.

Wat de CTIVD constateerde

Het gaat om Toezichtrapport nr. 84, dat draait om de verwerking van bulkdata: omvangrijke verzamelingen persoonsgegevens die soms miljoenen regels bevatten, met namen, telefoonnummers, locatiegegevens, informatie uit sociale media en de inhoud van communicatie. De diensten gebruiken zulke datasets om patronen en netwerken te herkennen, maar de wet stelt harde grenzen aan hoe lang die gegevens mogen blijven staan en wie ermee mag werken.

Op beide punten schoot het mis. De commissie stelt vast dat de diensten grote hoeveelheden persoonsgegevens in meerdere gevallen te lang bewaarden en dat groepen medewerkers onrechtmatig toegang hadden tot die gegevens. De wet schrijft voor dat data na verwerving maar beperkte tijd bewaard mag blijven en dat slechts een beperkt aantal mensen ermee mag werken. De oorzaken lagen volgens de CTIVD in technische tekortkomingen in de systemen en in procedures die de naleving niet afdwongen. De commissie doet dertien aanbevelingen om de bescherming van de persoonlijke levenssfeer te verbeteren.

Het hoofdkantoor van de AIVD in Zoetermeer., Bron: Choinowski / Wikimedia Commons (CC BY-SA 4.0)
Het hoofdkantoor van de AIVD in Zoetermeer., Bron: Choinowski / Wikimedia Commons (CC BY-SA 4.0)

Geen incident, maar een structureel patroon

De verantwoordelijke ministers van Binnenlandse Zaken en van Defensie laten weten het beeld te herkennen dat de CTIVD schetst en de tekortkomingen aan te pakken; de aanbevelingen worden meegenomen in de aanstaande herziening van de Wet op de inlichtingen- en veiligheidsdiensten. Dat is precies het punt: dit zijn geen eenmalige uitglijders, maar structurele gaten tussen wat de regels eisen en wat de systemen in de praktijk afdwingen.

Dit staat overigens los van de Russische phishingcampagne op back-ups van Signal-herstelsleutels waarvoor dezelfde diensten vandaag organisaties waarschuwden: dat is een externe dreiging, terwijl dit rapport gaat over hoe de diensten zelf met verzamelde data omgaan. Twee losse verhalen op dezelfde dag, met dezelfde afzender.

Wat dit betekent voor jouw bedrijf

Strip de context van staatsveiligheid weg en er blijven twee AVG-basisregels over die de diensten hier overtraden, en die in het bedrijfsleven net zo vaak sneuvelen.

De eerste is opslagbeperking: je mag persoonsgegevens niet langer bewaren dan nodig voor het doel waarvoor je ze verzamelde. In de praktijk betekent dat concrete bewaartermijnen per soort gegeven, vastgelegd en vervolgens ook technisch afgedwongen. De meeste organisaties hebben het eerste wel op papier, maar niet het tweede: oude klantexports, verlopen sollicitatiedossiers en volgelopen logbestanden blijven jarenlang staan omdat niets ze automatisch opruimt. Precies het mechanisme dat de CTIVD bij de diensten aanwijst, technische tekortkomingen die naleving niet afdwingen.

De tweede is toegangsbeperking, oftewel least privilege: alleen wie de gegevens echt nodig heeft, mag erbij. Dat groepen medewerkers onrechtmatig toegang hadden, is geen exotisch inlichtingenprobleem. Het is de standaardsituatie in bedrijven waar iedereen bij het gedeelde klantbestand kan, waar rechten na een functiewisseling nooit worden ingetrokken, en waar niemand logt wie welke gegevens inzag. Onder de AVG is dat een tekortschietende beveiliging, en bij een datalek is het het eerste waar een toezichthouder naar vraagt.

De rode draad is bekend: het AVG-risico zit zelden in de techniek zelf, maar in slordige dataomgang rond doelbinding, datascheiding en toegangsrechten. Een rapport over inlichtingendiensten voelt ver weg, maar de twee fouten zijn universeel. Loop je eigen huishouding er eens langs: weet je van elk gegevensbestand hoe lang het mag blijven staan, en kun je op elk moment laten zien wie erbij kan? Kun je op geen van beide vragen hard antwoord geven, dan staat je organisatie dichter bij de bevindingen van dit rapport dan je zou willen.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Bewaartermijnen en toegang op orde

Dezelfde twee fouten uit dit rapport zie ik overal: data die blijft staan en toegang die te ruim is. Ik help je dat end-to-end oplossen, van meedenken over je databeleid tot het inrichten en automatiseren van opschoning en least-privilege-toegang, self-hosted waar dat kan.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Gerelateerde artikelen

Bits of Freedom: AIVD en MIVD trainen mogelijk eigen AI met burgerdata
Nieuws
4 min

6 jul 12:13

Bits of Freedom: AIVD en MIVD trainen mogelijk eigen AI met burgerdata

Bits of Freedom leidt uit het CTIVD-rapport over bulkdata af dat de AIVD en MIVD mogelijk hun eigen AI trainen met data van burgers. De diensten bevestigen niets, maar de governance-fout eronder raakt elk bedrijf dat AI traint.

Datalek bij Avans: gegevens van 17.500 mensen bijna een jaar lang toegankelijk door verkeerde instelling
Nieuws
5 min

1 jul 12:07

Datalek bij Avans: gegevens van 17.500 mensen bijna een jaar lang toegankelijk door verkeerde instelling

Een configuratiewijziging in een Microsoft-omgeving maakte gevoelige persoonsgegevens bijna een jaar toegankelijk binnen Avans' systeem AMIGO. Geen hack, wel een pijnlijke les over toegangsbeheer voor elk bedrijf.

Amazon-CTO Vogels: bedrijven stappen over op goedkopere open-source AI-modellen
Nieuws
4 min

11 jul 12:10

Amazon-CTO Vogels: bedrijven stappen over op goedkopere open-source AI-modellen

Amazon-CTO Werner Vogels bevestigt op de UN-top AI for Good dat bedrijven de duurste, gesloten AI-modellen inruilen voor goedkopere open-source varianten. Kosten zijn een ontwerpkeuze geworden, en dat verandert hoe je als ondernemer je modelkeuze maakt.

Lidl-webshop lekt klantgegevens na hack bij IT-leverancier
Nieuws
4 min

10 jul 18:10

Lidl-webshop lekt klantgegevens na hack bij IT-leverancier

Bij een hack op een IT-dienstverlener van Lidl zijn naam, telefoonnummer, e-mailadres, geboortedatum en klantnummer van webshopklanten gelekt. Wachtwoorden en bankgegevens bleven veilig. Waarom dit elke ondernemer met een webshop en externe leveranciers aangaat.

Italiaanse toezichthouder beboet Character.AI om falende leeftijdscontrole
Nieuws
4 min

10 jul 06:38

Italiaanse toezichthouder beboet Character.AI om falende leeftijdscontrole

De Italiaanse privacytoezichthouder Garante legt Character.AI een boete op wegens falende leeftijdscontrole en een te laat uitgevoerde privacytoets. Een klein bedrag, maar een duidelijk precedent voor elk bedrijf met een AI-chatbot die minderjarigen kan bereiken.

AI verhuist niet naar een nieuw tabblad, het wordt een vast teamlid in je tools
Inzicht
6 min

9 jul 09:00

AI verhuist niet naar een nieuw tabblad, het wordt een vast teamlid in je tools

AI-adoptie sneuvelt zelden op het model en bijna altijd op de plek. Waarom Claude als vast teamlid in Slack en Teams nu wel aanslaat, en een los AI-tabblad niet.