Toezichthouders onderzochten NCTV nog nooit




Hoe kan een overheidsafdeling jarenlang burgers in de gaten houden zonder dat iemand ingrijpt? NRC onthulde dit weekend dat de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) gevoelige gegevens van burgers verzamelt, verspreidt en voor onbepaalde tijd opslaat. Daarbij volgen analisten met nepaccounts op sociale media honderden activisten, predikers, politici. Volgens deskundigen gaat de coördinator te ver. Ook intern waarschuwden juristen. Maar wie had moeten ingrijpen? Het kostte afgelopen weken nogal wat mailtjes en telefoontjes om daarachter te komen. Niet de minister. De NCTV is gewoon een afdeling op het ministerie en niet, zoals veel mensen denken, een geheime dienst. De minister van Justitie en Veiligheid is direct verantwoordelijk voor alles wat de coördinator doet. Maar opeenvolgende ministers blijken geen idee te hebben van hoe de coördinator precies aan informatie over de nationale veiligheid komt.

Lees ook: Onmin en uitglijders bij de club die het land moet beschermen

De Inspectie Justitie en Veiligheid onderzoekt als toezichthouder „de kwaliteit van de taakuitvoering door organisaties werkzaam op het terrein van justitie en veiligheid”. Maar de inspectie verwijst door naar de Autoriteit Persoonsgegevens (AP). „Die gaat over het verwerken van persoonsgegevens.” Ook de antwoorden van de Autoriteit Persoonsgegevens zijn niet hoopgevend. De toezichthouder heeft nog nooit onderzocht hoe de NCTV aan informatie komt. Op vragen over wat de coördinator mag als het gaat om de verzameling en opslag van persoonsgegevens, verwijst de Autoriteit consequent naar de wet die voorschrijft wat inlichtingendiensten mogen, de Wet op de inlichtingen- en veiligheidsdiensten (Wiv). Alleen: de coördinator valt daar niet onder. De NCTV valt gewoon onder de wet Algemene verordening gegevensbescherming (AVG) – dat betekent dat een NCTV-medewerker niet veel meer mag dan een willekeurige gemeenteambtenaar. Daar komt bij dat Autoriteit Persoonsgegevens geen toegang heeft tot staatsgeheime informatie. De database waarin de coördinator analyses en berichten bewaart – met daarin gegevens over iemands woonplaats, activiteiten, gedachtengoed, aantal kinderen en religie – bevat ook geheime informatie. De Autoriteit Persoonsgegevens benadrukt dat de NCTV vooral zelf verantwoordelijk is om aan de privacyregels te voldoen. Maar wat deed de Autoriteit bijvoorbeeld met de twee meldingen die de NCTV in 2014 en 2016 actief zelf bij de toezichthouder deed? „Dat kunnen we niet zo 1, 2, 3 naar boven krijgen”, reageert een woordvoerder van de Autoriteit. De NCTV meldt in 2014 aan de voorganger van de Autoriteit, het CBP, dat ze aan „internetmonitoring” doen om dreigingen voor de nationale veiligheid te signaleren. Het onderzoek zou zich niet richten op specifieke personen (in jargon: géén „targetgerichte informatievergaring”). Alleen de „gebruikersnaam op internetfora of sociale media” zou worden vastgelegd. Die gebruikersnaam „wordt niet gekoppeld aan de achterliggende persoonsgegevens van betrokkene” en wordt slechts verwerkt „ten behoeve van macroanalyses”.Meldingen niet onderzochtAls de toezichthouder de melding had onderzocht, was duidelijk geworden dat de NCTV veel verder ging dan de melding deed voorkomen. In die tijd werd al gezocht op personen. Analisten legden niet alleen online gebruikersnamen vast, maar ook de werkelijke namen. De NCTV erkent nu in een reactie dat „in sommige gevallen waarin de gebruikersnaam niet overeenstemt met de werkelijke naam, toch ook de werkelijke naam is verwerkt”. De andere melding die de NCTV bij de privacytoezichthouder deed, uit 2016, gaat over die geheime database waarin de analyses worden bewaard die voortkomen uit het internetonderzoek. In de melding staat: „De vermelde persoonsgegevens beperken zich doorgaans tot de naam van betrokkene.” Maar uit onderzoek van NRC blijkt dat burgers ook dan al soms worden gekoppeld aan andere gegevens, zoals afkomst en religieuze en politieke denkbeelden. Dat zijn bijzondere persoonsgegevens en daarvoor gelden nóg strengere eisen. De NCTV laat weten dat de melding niet heeft geleid tot een reactie van de van de toezichthouder. „Voor deze verwerking zijn destijds geen bewaartermijnen vastgesteld.”Beide meldingen bij de Autoriteit zijn gedaan onder verantwoordelijkheid van de vorige NCTV-baas Dick Schoof, de huidige secretaris-generaal van het ministerie van Justitie en Veiligheid.Hoeveel meldingen in totaal door de NCTV bij de Autoriteit Persoonsgegevens werden gedaan, is niet duidelijk. De Autoriteit is dat nog aan het uitzoeken. „Niemand vindt het erg dat de NCTV zijn werk doet”, zegt privacyjurist Jeroen Terstegge. „Alleen de vraag is: welk werk?” Hij zegt dat ambtenaren te vaak met vage opdrachten „op pad worden gestuurd”. „We moeten veel vaker in de wet gaan opschrijven welke informatie in het kader van een specifieke taak of van bevoegdheden nu wel en niet mag worden verzameld.”Na publicatie van het NRC-artikel reageerden burgers, met name activisten, verontrust. Hoe komen ze te weten of ook zij in de gaten worden gehouden? Wat voor gegevens heeft de coördinator over hen verzameld? Op de website van de NCTV staat niets over de wijze waarop data worden verzameld. Er staat ook niet waar burgers terecht kunnen met vragen of klachten. Wat als ze informatie over zichzelf willen inzien, of verwijderd willen hebben? Het is niet duidelijk of dat zelfs ook maar kan.De NCTV moet zich aan wetten houden pagina 19
De Nederlandse krijgsmacht verzamelde sinds de corona-uitbraak heimelijk informatie over de Nederlandse samenleving. De informatie werd geduid en verspreid in rapporten. Het mandaat voor die dataverzameling ontbrak, bleek in november uit onderzoek van NRC naar het Land Information Manoeuvre Centre (LIMC), een eenheid die defensie oprichtte om zicht te krijgen op de coronacrisis en de verspreiding van desinformatie. Medewerkers van het Centraal Bureau voor de Statistiek (CBS) hadden bij T-Mobile jarenlang toegang tot niet-anonieme, oftewel herleidbare locatiegegevens van T-Mobile-klanten. Het CBS en T-Mobile poogden hiermee een algoritme te ontwikkelen dat op basis van de locatiedata van één mobiele provider het mobiliteits- en verblijfsgedrag van Nederlanders zou kunnen meten. Het Centraal Orgaan opvang Asielzoekers (COA) deelde jarenlang onrechtmatig zeer gevoelige gegevens van al zijn bewoners met de politie: naam, nationaliteit, etniciteit, religie, leeftijd, geslacht. De politie gebruikte deze gegevens naar eigen zeggen voor handhaving en onderzoeken naar criminele activiteiten. Na publicaties in NRC besloot het COA vorig jaar juli de gegevens niet langer meer te leveren.

Written by 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *