Nog voordat de nieuwe wet werd aangenomen, bleek de Nederlandse politie al fouten te hebben gemaakt bij het verzamelen van gegevens van internetgebruikers. Uit documenten die de NOS op basis van de Wet openbaarheid bestuur heeft kunnen bemachtigen blijkt dat verzamelde informatie te lang wordt bewaard en er te weinig controle is op wie er toegang heeft tot de verzamelde data.

Nederlandse Telecom- en internetproviders sturen elke dag verplicht hun volledige klantenbestand naar het ministerie van Justitie en Veiligheid zodat verschillende opsporingsdiensten waaronder de politie, de 112-meldkamer, de FIOD, de arbeidsinspectie en de voedel- en warenautoriteit.

Het is lang niet altijd duidelijk welke instanties er allemaal gebruik mogen maken van de zogenoemde CIOT-database. Vaak wordt er pas achteraf vastgesteld welke opsporingsambtenaren toegang mogen hebben tot dit systeem. Bovendien blijkt er uit het rapport dat er ook nog eens "afwijkend van de regelgeving werd gehandeld" en het niet is gelukt "om eenduidig inzicht te krijgen in het juridisch kader".

De politie heeft aan de NOS laten weten dat het gaat onderzoeken of het mogelijk is de autorisatieprocedure te versoepelen. Deze situatie zou tot de zomer van dit jaar worden gedoogd, maar het is niet bekend of de situatie inmiddels is veranderd. Omdat de door de NOS verworven documentatie gaat over de situatie tot 2016 (die van 2017 wordt volgens met ministerie nog geëvalueerd), is het niet duidelijk of er iets is verbeterd. Het ministerie wilde daarover in elk geval geen inhoudelijke antwoorden geven.