De AIVD en MIVD hebben persoonsgegevens in bulkdatasets onrechtmatig verwerkt, zo oordeelt de Commissie Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD). Zo hadden groepen medewerkers onrechtmatig toegang tot persoonsgegevens. Ook werden grote hoeveelheden persoonsgegevens in meerdere gevallen te lang bewaard. De toezichthouder heeft dertien aanbevelingen gedaan om de situatie te verbeteren.
Bij de uitvoering van hun taken maken de AIVD en MIVD gebruik van zogenaamde bulkdatasets. Het gaat om omvangrijke verzamelingen persoonsgegevens met soms miljoenen regels gegevens. Daarbij kan het gaan om namen en telefoonnummers maar ook om locatiegegevens, socialmediagegevens of inhoudelijke communicatiegegevens. De gebruikte datasets zijn afkomstig van overheidsinstanties. Het kan echter ook gaan om commercieel verkrijgbare datasets, of gestolen datasets die door criminelen worden aangeboden.
Verkregen datasets mogen een beperkte tijd worden bewaard. Ook mogen binnen de AIVD en de MIVD maar een beperkt aantal personen met de gegevens werken en moet de toegang tot de gegevens worden beperkt. De diensten moeten gegevens vernietigen die niet relevant blijken voor onderzoek van de diensten. De CTIVD concludeert dat de AIVD en de MIVD hun processen niet goed op orde hebben. Zo hadden groepen medewerkers onrechtmatig toegang tot persoonsgegevens. Ook werden grote hoeveelheden persoonsgegevens in meerdere gevallen te lang bewaard.
In het onderzoeksrapport spreekt de toezichthouder over “ernstige risico’s en onrechtmatigheden met betrekking tot de toegang van medewerkers tot bulkdatasets”. Het gaat dan met name om bulkdatasets waarop het beperkte of strikt beperkte toegangsregime van toepassing is. “Ook de logging van gegevens geeft onvoldoende inzicht die nodig is voor een goede beoordeling van processen”, aldus de CTIVD.
“De verwerking van gegevens uit bulkdatasets vormt een privacy inbreuk voor de personen die er in voorkomen. Daar komt bij dat verreweg het merendeel van de mensen die in deze datasets voorkomen, niks te maken hebben met spionage of terrorisme. De waarborgen omtrent gegevensverwerking moeten simpelweg op orde zijn”, zegt CTIVD-voorzitter Hugo Hillenaar. Hij merkt op dat de maatschappij en de politiek er op moeten kunnen vertrouwen dat er goede waarborgen zijn voor het werken met bulkdatasets,. “En daarbij moeten de diensten zich vanzelfsprekend aan de geldende regelgeving houden.”
De CTIVD adviseert om gegevens niet als openbaar toegankelijk te beschouwen wanneer niet feitelijk kan worden vastgesteld of de verkregen gegevens openbaar toegankelijk zijn (geweest). “Scherp in regelgeving of beleid aan hoe dit criterium moet worden betrokken bij de beoordeling van de privacyinbreuk van bulkdatasets. Houd hierbij rekening met de omstandigheid dat gegevens uit een datalek openbaar toegankelijk kunnen zijn, maar doorgaans niet door de betrokkenen zelf openbaar zijn gemaakt.”
“Wij nemen deze aanbeveling grotendeels over. Voortaan merken de diensten bulkdatasets aan als niet openbaar toegankelijk indien onduidelijk is of deze openbaar toegankelijk zijn (geweest). Ook hebben de diensten tijdens de
onderzoeksperiode de regels rondom het openbaarheidscriterium in het beleid verduidelijkt en aangescherpt”, reageren ministers Heerman van Binnenlandse Zaken en Yesilgöz van Defensie op de aanbeveling van de CTIVD. Ze zeggen het door de toezichthouder geschetste beeld te herkennen. Volgens de bewindslieden staat het verbeteren van het beheer van bulkdatasets hoog op de agenda van de diensten.
Utrecht heeft jou nodig! Als Chief Information Security Officer maak jij de stad digitaal veilig. Je bepaalt de koers voor informatiebeveiliging en zorgt dat beleid werkt. Je adviseert bestuur, stuurt een team aan en werkt samen met partners voor duidelijke keuzes met blijvende impact.
Slecht nieuws: Google stopt met ingang van Chrome v.151 totaal de ondersteuning van Manifest V2.
Tot v.150 bestond nog een …
Bron: Security.nl
De AIVD en MIVD hebben persoonsgegevens in bulkdatasets onrechtmatig verwerkt, zo oordeelt de Commissie Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD). Zo hadden groepen medewerkers onrechtmatig toegang tot persoonsgegevens. Ook werden grote hoeveelheden persoonsgegevens in meerdere gevallen te lang bewaard. De toezichthouder heeft dertien aanbevelingen gedaan om de situatie te verbeteren.
Bij de uitvoering van hun taken maken de AIVD en MIVD gebruik van zogenaamde bulkdatasets. Het gaat om omvangrijke verzamelingen persoonsgegevens met soms miljoenen regels gegevens. Daarbij kan het gaan om namen en telefoonnummers maar ook om locatiegegevens, socialmediagegevens of inhoudelijke communicatiegegevens. De gebruikte datasets zijn afkomstig van overheidsinstanties. Het kan echter ook gaan om commercieel verkrijgbare datasets, of gestolen datasets die door criminelen worden aangeboden.
Verkregen datasets mogen een beperkte tijd worden bewaard. Ook mogen binnen de AIVD en de MIVD maar een beperkt aantal personen met de gegevens werken en moet de toegang tot de gegevens worden beperkt. De diensten moeten gegevens vernietigen die niet relevant blijken voor onderzoek van de diensten. De CTIVD concludeert dat de AIVD en de MIVD hun processen niet goed op orde hebben. Zo hadden groepen medewerkers onrechtmatig toegang tot persoonsgegevens. Ook werden grote hoeveelheden persoonsgegevens in meerdere gevallen te lang bewaard.
In het onderzoeksrapport spreekt de toezichthouder over “ernstige risico’s en onrechtmatigheden met betrekking tot de toegang van medewerkers tot bulkdatasets”. Het gaat dan met name om bulkdatasets waarop het beperkte of strikt beperkte toegangsregime van toepassing is. “Ook de logging van gegevens geeft onvoldoende inzicht die nodig is voor een goede beoordeling van processen”, aldus de CTIVD.
“De verwerking van gegevens uit bulkdatasets vormt een privacy inbreuk voor de personen die er in voorkomen. Daar komt bij dat verreweg het merendeel van de mensen die in deze datasets voorkomen, niks te maken hebben met spionage of terrorisme. De waarborgen omtrent gegevensverwerking moeten simpelweg op orde zijn”, zegt CTIVD-voorzitter Hugo Hillenaar. Hij merkt op dat de maatschappij en de politiek er op moeten kunnen vertrouwen dat er goede waarborgen zijn voor het werken met bulkdatasets,. “En daarbij moeten de diensten zich vanzelfsprekend aan de geldende regelgeving houden.”
De CTIVD adviseert om gegevens niet als openbaar toegankelijk te beschouwen wanneer niet feitelijk kan worden vastgesteld of de verkregen gegevens openbaar toegankelijk zijn (geweest). “Scherp in regelgeving of beleid aan hoe dit criterium moet worden betrokken bij de beoordeling van de privacyinbreuk van bulkdatasets. Houd hierbij rekening met de omstandigheid dat gegevens uit een datalek openbaar toegankelijk kunnen zijn, maar doorgaans niet door de betrokkenen zelf openbaar zijn gemaakt.”
“Wij nemen deze aanbeveling grotendeels over. Voortaan merken de diensten bulkdatasets aan als niet openbaar toegankelijk indien onduidelijk is of deze openbaar toegankelijk zijn (geweest). Ook hebben de diensten tijdens de
onderzoeksperiode de regels rondom het openbaarheidscriterium in het beleid verduidelijkt en aangescherpt”, reageren ministers Heerman van Binnenlandse Zaken en Yesilgöz van Defensie op de aanbeveling van de CTIVD. Ze zeggen het door de toezichthouder geschetste beeld te herkennen. Volgens de bewindslieden staat het verbeteren van het beheer van bulkdatasets hoog op de agenda van de diensten.
Utrecht heeft jou nodig! Als Chief Information Security Officer maak jij de stad digitaal veilig. Je bepaalt de koers voor informatiebeveiliging en zorgt dat beleid werkt. Je adviseert bestuur, stuurt een team aan en werkt samen met partners voor duidelijke keuzes met blijvende impact.
Slecht nieuws: Google stopt met ingang van Chrome v.151 totaal de ondersteuning van Manifest V2.
Tot v.150 bestond nog een …
Bron: Security.nl
Deel dit bericht: