“De virusdefinities van de virusscanner worden handmatig bijgewerkt", concludeert de departmentele auditdienst. Deze ontdekking staat in het eindrapport 2010 (pdf) over de database met telecomgegevens van het CIOT (Centraal Informatiepunt Onderzoek Telecommunicatie). Het CIOT houdt een database bij met daarin de telecomgegevens van vrijwel alle Nederlanders waarin opsporingsdiensten ongebreideld en ongecontroleerd kunnen neuzen. Dit gebeurt miljoenen keren per jaar.

Het eindrapport over de centrale telecomdatabase werd 23 juni dit jaar opgesteld maar pas begin deze maand vrijgegeven. Dat gebeurde na een beroep op de Wet openbaarheid bestuur (Wob) van Bits of Freedom (BOF). Privacyvoorvechter Rejo Zenger van BOF heeft het rapport doorgespit en zijn bevindingen gepubliceerd in een blogpost. “Wij zijn daar eerder niet aan toegekomen", legt hij uit aan Webwereld.

Risico van vakanties

Er blijkt onder andere dat het het antivirussysteem dat gebruikt wordt voor de database alleen handmatig wordt bijgewerkt. De norm voor het CIOT is dat alle systemen zijn voorzien van antivirussoftware, die voortdurend actueel is. Op het moment van de audit was de antivirus wel up-to-date, aldus de auditors. “Uit interview [sic] blijkt dat de procedure is dat de definities op wekelijkse basis geüpdatet worden. Deze update vindt manueel plaats."

Dat handwerk gebeurt in de praktijk elke week, maar de auditors zien wel een gevaar in deze methode. Het komt op de aanwezigheid van beheerders neer. “Het manueel updaten van de virusscanner brengt het risico mee dat door bijvoorbeeld de afwezigheid van een beheerder de virusscanners tijdelijk niet meer up-to-date zijn", valt te lezen in het rapport.

Ongecontroleerd

Het valt ook niet te controleren hoe (on)regelmatig de antivirusupdates zijn uitgevoerd. “Daarnaast is het door een onvolledige logging niet te controleren of het updateproces het gehele jaar door goed heeft gewerkt. Aanbeveling is dan ook om het proces te automatiseren en de logging zo in te richten dat het proces ook controleerbaar is."

Het CIOT is volgens de auditors wel van plan om de antivirussoftware automatisch bij te werken. “Hiervoor is een offerte aangetroffen." Het is niet bekend welke securityprogrammatuur in gebruik is bij het CIOT. Vragen van Webwereld aan het verantwoordelijke ministerie van Veiligheid en Justitie (VenJ) werden niet direct beantwoord.

Voor opsporing

De CIOT-database is gevuld met klantgegevens die telecombedrijven en internetaanbieders verplicht beschikbaar moeten stellen. Politie, Justitie en inlichtingendiensten kunnen die data gebruiken om verdachten op te sporen. Daar wordt in de praktijk veelvuldig en al jaren misbruik van gemaakt.

De benodigde 'rechtmatige grondslag' voor de zogeheten CIOT-bevragingen wordt namelijk met voeten getreden. Er is sprake van stelselmatig overtreden van de wet, concludeerde het College bescherming persoonsgegevens (Cbp) al. Het Korps Landelijke Politiediensten (KLPD) ontkent dit overigens. Alle bevragingen zijn rechtmatig, er is hoogstens sprake van 'vormverzuim', aldus het korps dat de zaak ook zelf intern onderzocht.