Analyse: praktijk bevragingen CIOT bijzonder zorgwekkend

Bits of Freedom besteedde onder meer in haar nieuwsbrief van 13 oktober 2009 aandacht aan de rapporten uit het Wob verzoek inzake uitvoering Bvergt en mijn samenvatting ervan. Omdat de nieuwsbrief vooralsnog alleen per e-mail verzonden is en nog niet op haar website is gepubliceerd, heb ik hieronder, met toestemming, de tekst integraal overgenomen.

Kloof tussen bevoegdheden en praktijk

Dat aanbieders van telecommunicatiediensten de gebruiksgegevens van al hun gebruikers uploaden naar het Centraal Informatiepunt Onderzoek Telecommunicatie, was al bekend. Dat (bijzondere) opsporings- en inlichtingendiensten ("BOID") 24 uur per dag, 7 dagen per week toegang hebben tot deze database, is wellicht ook bekend. En dat het CIOT in 2008 drie miljoen keer is geraadpleegd, kwam in de media al ter sprake.

Maar de informatie uit het "Eindrapport Audit CIOT 2008", boven water gekomen door een WOB-verzoek van Rejo Zenger, is nog onvoldoende besproken. Hieronder volgt een uitgebreidere analyse van het eindrapport. De conclusies hiervan is dat een deel van de bevragingen van het CIOT onrechtmatig is:

  1. in cruciale gevallen wordt ten onrechte geen proces verbaal opgesteld;
  2. er is geen controle van de bevragingen van het CIOT;
  3. persoonsgebonden PIN-codes voor het CIOT worden ten onrechte onderling uitgewisseld;
  4. corrigerende maatregelen bij onrechtmatige bevraging blijven uit;
  5. de kennis van wet- en regelgeving van een deel van de betrokkenen is onvoldoende;
  6. opsporingsambtenaren vragen historische gebruiksgegevens zonder de vereiste bevoegdheid op; en
  7. de BOID ervaren de privacybeschermende maatregelen als administratieve last, zodat de voorgeschreven procedures niet gevolgd worden.

Deze conclusies worden hieronder kort toegelicht.

  1. Opsporingsambtenaren bevragen het CIOT regelmatig zonder een proces verbaal op te maken, terwijl dit op grond van art. 126na Sv wél vereist is (par. 7.3.).
  2. De door het Ministerie van Justitie opgestelde leidraad voor het documenteren van de bevragingen van het CIOT wordt bij veel opsporingsdiensten niet toegepast. Door het ontbreken van deze documentatie kan de (on)rechtmatigheid van bevragingen door opsporingsdiensten niet worden gecontroleerd (par. 7.4.). In de audit van 2007 werd dit probleem ook al gesignaleerd, maar dit is blijkbaar sindsdien niet opgelost. Bovendien blijkt de rechtmatigheid van bevragingen niet periodiek of steeksproefgewijs op een andere wijze gecontroleerd te worden, waardoor "onrechtmatige bevragingen alleen bij toeval worden ontdekt". Hierdoor is het mogelijk dat zij "onopgemerkt blijven". Wat rest is "vertrouwen op de integriteit van de aanvragende opsporingsambtenaar" (par. 7.5.).
  3. Nu de namens de Minister van Justitie geautoriseerde opsporingsambtenaren niet continu beschikbaar zijn, worden persoonsgebonden PIN-codes voor het CIOT onderling uitgewisseld. Dit heeft misbruik tot gevolg, en leidt ertoe dat bevragingen niet herleidbaar zijn tot individuele personen. Bij onrechtmatige bevragingen kunnen corrigerende maatregelen daardoor niet getroffen worden (par. 7.6.).
  4. Zie vorig punt.
  5. De kennis van wet- en regelgeving bij een deel van de betrokkenen is onvoldoende. Een verwijderde passage uit de audit wordt in het rapport samengevat als: "het is ons zelfs gebleken dat het niet bekend was dat voor een bevraging ex artikel 126 Sv een Proces Verbaal dient te worden opgesteld" (dit artikel vormt de grondslag voor vrijwel alle bevoegdheden van de opsporingsdiensten). Hierdoor is het risico aanwezig dat bij bevragingen een onjuiste rechtsgrondslag wordt gehanteerd (par. 7.12.).
  6. De bevraging bij CIOT door opsporingsambtenaren van "historische" gebruiksgegevens wordt vaak niet door de Officier van Justitie geautoriseerd, terwijl opsporingsambtenaren zonder deze autorisatie alleen "actuele" gebruiksgegevens mogen opvragen. Deze historische gebruiksgegevens zijn in die gevallen onrechtmatig verkregen (par. 7.13.). Bovendien blijkt hieruit dat de BOID onzorgvuldig omspringen met het onderscheid tussen actuele- en historische telecommunicatiegegevens.
  7. De voorgeschreven werkwijze van bevraging wordt in sommige gevallen als "administratieve last" ervaren, en hierdoor worden de voorschriften niet altijd gevolgd. Dit is onrechtmatig (par. 7.15.).

Het is bijzonder zorgwekkend dat de BOID de wettelijke voorschriften niet volgt. Er bestaat een grote kloof tussen de al uitgebreide opsporingsbevoegdheden krachtens het Wetboek van Strafvordering enerzijds, en de praktijk van bevragen door de BOID anderzijds. Dit klemt des te meer nu een aantal van de gesignaleerde problemen ook al in de audit van 2007 was gesignaleerd. Enkele paragrafen en passages zijn overigens uit het rapport verwijderd, en het is de vraag of hier nog verdergaande inbreuken worden besproken.

Het is gelet hierop van belang dat in het kader van de implementatie van de Wet Bewaarplicht Telecommunicatiegegevens technische maatregelen worden genomen om onrechtmatige bevraging te voorkomen. Op 14 oktober vindt een door het Ministerie van Economische Zaken georganiseerde informatiemiddag plaats over deze wet, bedoeld voor het bedrijfsleven. Bits of Freedom zal daarbij pleiten voor dit soort technische maatregelen.