Een van de meest fascinerende publicaties van de afgelopen tijd is het rapport van de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD), een rapport uit december 2017 dat deze maand algemeen bekend werd. Officieel heet het rapport “Toezichtsrapport over het verwerven van door derden op internet aangeboden bulkdatasets door de AIVD en de MIVD“.
In het rapport komt aan de orde dat de geheime diensten op het ‘darkweb’ datasets hebben gekocht met persoonsgegevens van Nederlanders. De datasets hebben een illegale herkomst, zo schrijft de CTIVD, bijvoorbeeld zijn ze beschikbaar gekomen als gevolg van datalekken of hacks bij bedrijven of instellingen. Over de sets schrijft de organisatie:
Beide datasets bestonden telkens uit een beperkt aantal typen gegevens, zoals namen, e-mailadressen en wachtwoorden. De datasets bevatten elk de gegevens van meer dan honderd miljoen personen, die hoofdzakelijk geen onderwerp van onderzoek zijn en dat ook nooit zullen worden. De verwerving en verdere verwerking van de gegevens uit deze datasets leveren een meer ernstige privacy-inmenging op. De gegevens voorzien echter in een duidelijke inlichtingenbehoefte en waren noodzakelijk om onder meer targets te kunnen identificeren. Ook kunnen de gegevens worden aangewend voor de inzet van de hackbevoegdheid. (…)
De tweede dataset bevat persoonsgegevens van relatief veel Nederlands ingezetenen en is zeer algemeen van aard. (…)
Dit is andere problematiek dan die van de sleepnetwet. Het rapport gaat met name over de vraag hoe de geheime diensten met de gegevens zijn omgegaan en of de procedures zijn.
Worden benadeelden geïnformeerd?
Wat mij interesseert: moeten de geheime diensten de personen wiens gegevens zij in de datasets hebben aangetroffen informeren?
Het kunnen immers persoonsgegevens zijn die niet al via andere weg, bijvoorbeeld via haveibeenpwned.com zijn bekend gemaakt (een site die niet iedereen kent). Misschien moet het een overheidstaak worden om een informatiedienst voor gedupeerden op te zetten!
Intrigerend: moeten die mensen wiens persoonsgegevens verhandeld worden niet worden geïnformeerd? #AVG #datalek > @fborgesius weet jij dat?
— Ellen Timmer (@Ellen_Timmer) 13 februari 2018
Over het rapport gediscussieerd met Matthijs Koot, onder meer:
oh da’s zowel op clearweb als op darkweb, en de grootste datasets op het clearweb zitten AFAIK op publicdbhost/Susbase/databases.today (nu onbereikbaar)
— Matthijs R. Koot (@mrkoot) 13 februari 2018
En verder:
precies. En ga er maar vanuit dat er zijn cybersec-bedrijven zijn die gebruikmaken van die gegevens. Daarover hoop ik binnenkort iets op te schrijven in een artikel voor @PvIB over ethische aspecten van bepaalde werkzaamheden in infosec-wereld
— Matthijs R. Koot (@mrkoot) 13 februari 2018
Ik ben benieuwd naar het artikel.
Meer informatie:
- Aankondiging CTIVD
- Rapport
- Brief ministers waarmee het rapport aan het parlement werd gezonden
- BNR artikel met interview strafadvocaat Inez Weski over de sleepnetwet