Het College Bescherming Persoonsgegevens (CBP) doet diepgravend onderzoek naar ongeoorloofd, onbevoegd en onrechtmatig gespit van politie, Justitie, AIVD en MIVD in de CIOT-databank.

In het CIOT, dat staat voor Centraal Informatiepunt Onderzoek Telecommunicatie, zijn IP-adressen, telefoonnummers en mailadressen gekoppeld aan de NAW-gegevens van Nederlanders.

Het onderzoek van de toezichthouder stond eigenlijk al voor 2009 op de rol, maar is pas sinds enkele maanden ingezet, bevestigt de woordvoerster van het CBP.

Onbevoegd en onrechtmatig

De belangrijkste aanleiding is het voortdurende gebrek aan controle over wie, wanneer en hoe in de databank kan grazen. Al jarenlang is de controle op de toegang tot de database beneden de maat, zo bleek uit een audit die eind juli werd gepubliceerd na een beroep op de WOB (wet openbaarheid van bestuur).

Zo kwam tijdens het onderzoek boven water dat opsporingsambtenaren hun inloggegevens uitwisselen, waardoor mensen die niet bevoegd zijn toch de database in kunnen.

Uit een steekproef van enkele tientallen gevallen bleek er weliswaar slechts één opvraging onrechtmatig, maar aangezien er 3 miljoen queries per jaar zijn, is het probleem van wangebruik potentieel groot. Tienduizenden opsporingsambtenaren hebben toegang tot het CIOT, dat elke dag geactualiseerd wordt door de telecomproviders.

Hirsch-Ballin: niet acceptabel

Vaak worden in één zoekactie de NAW-gegevens van honderden abonnees tegelijk opgevraagd. Met dergelijke sleepnetmethoden kan de recherche bijvoorbeeld nagaan wie er ten tijde van een misdaad rond de plaats van het delict aanwezig waren, aan de hand van logfiles gekoppeld aan de locatie van antennes van mobiele telefoonnetwerken.

De publicatie van het audit rapport leidde tot veel ophef en zowel VVD als GroenLinks stelden Kamervragen. In zijn antwoord eind september zegde minister van Justitie Hirsch-Ballin toe de misstanden aan te pakken. "Ik acht dit niet acceptabel," aldus de minister. De bevragingen van het CIOT moeten opnieuw worden getoetst aan de wet- en regelgeving. Waar nodig dient een 'verbeterplan' te komen. Toezicht en controle worden verscherpt en gestandaardiseerd, beloofde Justitie.

Verkeersgegevens ook via CIOT

Ondanks de problemen heeft Justitie echter plannen om het CIOT dramatisch uit te breiden met met toegang tot alle telecomverkeersdata: wie, wanneer, hoelang en waar met wie belt, sms’t en mailt. Providers moeten deze gegevens een jaar lang opslaan, sinds de omstreden Wet Bewaarplicht Telecomgegevens vorig jaar werd aangenomen.

Tot nog toe moet Justitie per geval een verzoek indienen aan providers voor deze gegevens. Maar dat is omslachtig, en er worden genante fouten gemaakt, dus moet er directe toegang tot deze immense databanken komen, zodat opsporingsdiensten zelf onbelemmerd kunnen spitten. Een proefballonnetje om ook bankrekeningnummers via het CIOT toegankelijk te maken werd schielijk doorgeprikt.

Onvermijdelijke risico’s van misbruik

Ironisch genoeg wees de voorloper van het CBP, de Registratiekamer, er in 1999 bij de voorlopige goedkeuring van het CIOT er al op dat "een te ruim bemeten algemeen informatiebestand onvermijdelijke risico’s van oneigenlijk gebruik of zelfs misbruik met zich meebrengt."

Het CBP verwacht het huidige onderzoek naar het CIOT 'in de eerste helft van 2011' af te ronden. Digitale burgerrechtenbeweging Bits of Freedom (BoF) is blij met het onderzoek, dat 'hard nodig' is. "We hopen dat het CBP streng naar deze praktijken kijkt. Het is onacceptabel dat de regering ook nog plannen heeft om het CIOT uit te breiden met verkeersgegevens van internet en telefonie, terwijl keer op keer blijkt dat het in zijn huidige vorm al misgaat", aldus Axel Arnbak van BoF.