Praktijk bevragingen CIOT onverminderd zorgwekkend

Uit het meest recente eindrapport van de audit over het functioneren van het Centraal Informatiepunt Onderzoek Telecommunicatie blijkt dat de situatie nauwelijks is verbeterd ten opzichte 2008. Nog altijd beschikken opsporingsambtenaren over onvoldoende kennis van de wet- en regelgeving. Bovendien is de reikwijdte van het onderzoek beperkt. 

Het Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) is, simpel gezegd, het systeem dat opsporingsdiensten van de klantgegevens van telecom operators en internet providers voorziet. Het ministerie is verplicht jaarlijks een tweetal verslagen op te stellen, die een indicatie moeten geven van het functioneren van het CIOT. 

Met een beroep op de Wet openbaarheid van bestuur werd het eindrapport van de audit over 2009 openbaar gemaakt. 

Reikwijdte van het onderzoek beperkt

Wat direct opvalt is dat de insteek van het onderzoek deze keer anders is dan in de voorgaande jaren. Het tweede lid van artikel 8 van Besluit verstrekking gegevens telecommunicatie vraagt om een onderzoek naar de uitvoering door de betrokken partijen. Daarbij moet in ieder geval de werking van het systeem; de kwaliteit van de verstrekking van gegevens en de bevraging van gegevens worden bekeken. De meeste recente audit is beperkter dan de eerdere:

In overleg met de opdrachtgever van deze audit […] is besloten de audit 2009 te beperken tot de 6 providers en 8 opsporingsdiensten onderzocht in 2008 en het CIOT. Verder is de reikwijdte van de audit 2009 beperkt tot de followup van de aanbevelingen ter verbetering, zoals die gegeven zijn door de toenmalige auditor.

De voornaamste reden blijkt een beperking van de administratieve lasten te zijn:

Om de administratieve lasten te beperken is in 2009 in de Commissie van Advies CIOT afgesproken om de administratieve en controlelast voor de organisaties te verminderen door niet jaarlijks de controle “opnieuw” te doen, maar te gaan kijken naar de follow-up van de aanbevelingen en partieel roulerend de audits uit te voeren bij de aanbieders en de BOID’s.

Het risico hiervan is natuurlijk dat nieuwe problemen niet opgemerkt gaan worden. Je kunt je ook afvragen of met zo'n audit wel is voldaan aan de vereisten uit het Besluit verstrekking gegevens telecommunicatie.

Dit is zeker geen verbetering, het eindrapport is minder breed opgezet en een stuk minder concreet.

Geen fundamentele wijziging ten opzichte van vorig jaar

In mijn samenvatting van het rapport van vorig jaar schreef ik:

De onderzoekers hebben wel kritiek op de opsporingsambtenaren, ook op het punt van de rechtmatigheid en het doorlopen van de juiste procedures. Het viel op dat veel van de in 2007 opgemerkte problemen bij de in 2008 voor het eerste bezochte diensten opnieuw voorkwamen. Sommige van diensten hadden de aanbevelingen van een jaar eerder overgenomen, anderen in het geheel niet.

De conclusie in het meest recente eindrapport is van gelijke strekking. Over de opsporingsambtenaren schrijven de onderzoekers:

Voor drie belangrijke punten waarop aanbevelingen zijn gedaan naar aanleiding van de audit 2008, te weten het delegeren van bevoegdheden en de formele autorisatie, de rechtsgrondslagen en de rechtmatigheid van bevragingen en de documentatie van de werkwijze en de instructies, is de situatie voor 2009 bij het merendeel van de BOID's (vrijwel) ongewijzigd. De aanbevelingen op deze punten blijven dan ook nog onverkort van kracht. Aanvullend bevelen wij aan om nadere handreikingen te doen met betrekking tot het interpreteren van en omgaan met het begrip rechtmatigheid gezien de behoefte die op dit punt van de zijde van de BOID's is geuit.

Voor wat betreft de overige aanbevelingen is het beeld over de mate waarin zaken zijn opgepakt en verbeterd meer gevarieerd. Voor al die aanbevelingen geldt echter dat zij vrijwel allen voor meerdere BOID's van toepassing blijven.

Ook over het CIOT zelf is de conclusie gelijkluidend:

[…] Bij de audit 2009 hebben wij vastgesteld dat ten aanzien van de [identificatie en autorisatie en de controles ten aanzien van de integriteit van aangeleverde gegevens] een redelijke mate van follow-up heeft plaatsgevonden. Aan een aantal mogelijke verbeteringen is concreet invulling gegeven. De aanbevelingen inzake beschikbaarheid en continuïteit (uitwijk in geval van calamiteiten) en het actualiseren van afspraken met gebruikers zijn nog niet (volledig) gerealiseerd en blijven nog van toepassing.

Alleen over de telecom operators en de internet providers zijn de conclusies een stuk milder:

Bij de audit 2009 hebben wij vastgesteld dat de in 2008 bij de bestandsanalyses – door de toenmalige auditor – gesignaleerde afwijkingen door de betreffende aanbieders zijn opgepakt en onderzocht. Waar nodig hebben herstelacties en aanpassingen plaatsgevonden. Voor het overige was geen sprake van een fundamenteel gewijzigde situatie ten opzichte van 2008.

Dat laatste gaat onder meer over het periodiek controleren van het gegevensbestand en de controle aan de hand van XSD's schema's voordat het bestand aan het CIOT wordt overgedragen. De aanbieders vinden deze controles niet de moeite waard, de geconstateerde fouten zijn niet structureel en van zodanige omvang dat periodieke bestandsonderzoeken nodig zijn. De eerder geconstateerde fouten zijn opgepakt. 

Voor wat betreft de eerste twee afwegingen / overwegingen kunnen wij de redenering en aangevoerde argumentatie in principe onderschrijven. Wel achten wij het van belang dat no-hits (bij voorkeur ook centraal) worden vastgelegd zodat inzicht wordt verkregen in de (relatieve) omvang per provider. Dit geeft een indicatie omtrent de kwaliteit van de aangeleverde bestanden.

Een "no-hit" is een bevraging waarop geen enkel antwoord beschikbaar is. Ik weet niet helemaal zeker waarom (het gebrek aan) de registratie van no-hits op het conto van de aanbieders komt te staan. De bevragingen vinden immers plaats bij het CIOT, niet bij de aanbieder. De aanbieder heeft geen zicht op de bevragingen. De aanbieder kan hooguit de no-hits afleiden uit het aantal bevragingen dat buiten het CIOT om gedaan wordt, maar niet iedere no-hit leidt tot een handmatige bevraging en niet elke handmatige bevraging is het gevolg van een no-hit.

Rechtsgrondslagen en rechtmatigheid van de bevragingen

Bits of Freedom analyseerde eerder het eindrapport van vorig jaar en kwam tot de slotsom dat praktijk bevragingen bijzonder zorgwekkend was. In de analyse werd onder meer geconcludeerd dat opsporingsambtenaren soms geen proces verbaal opstelden, corrigerende maatregelen bij onrechtmatige bevraging uitbleven en de kennis van wet- en regelgeving bij de opsporingsambtenaren onvoldoende bleek.

Uit het rapport van de audit over 2008:

Bij één van de door ons geselecteerde dossiers kon de betreffende Bom van een bevraging geen onderliggende documenten aan ons tonen. Hierdoor hebben wij niet kunnen vaststellen dat deze bevraging rechtmatig was en moet deze als onrechtmatig worden beschouwd.

Voor het verkrijgen van een autorisatie van de Officier van Justitie ex artikel 126n, 126m of 126u WvS zijn gegevens met betrekking tot het betreffende telefoonnummer benodigd (o.a. de betreffende provider). Voor het verkrijgen van die gegevens van het nummer moet een proces verbaal ex 126na WvS worden opgemaakt. Dit is echter niet altijd het geval.

In veel gevallen beschikt de bezochte BOID niet over een gedocumenteerde werkwijze (procedure) rond het opvragen van telecommunicatiegegevens via het CIOT.

Bij een relatief groot aantal van de bezochte BOID's kan de geautoriseerde ambtenaar de beschreven controles niet uitvoeren, omdat de aanvraag per e-mail of fax alleen de te bevragen gegevens en (een referentie naar) de bijbehorende autorisatie van de Officier van Justitie c.q. Proces-verbaal bevat. De geautoriseerde ambtenaar kan echter niet vaststellen of de in de aanvraag opgenomen nummers of NAW gegevens ook daadwerkelijk uit het betreffende onderzoek afkomstig zijn.

Ook wordt de rechtmatigheid over het algemeen niet periodiek op een andere wijze vastgesteld, zoals bijvoorbeeld door periodiek onderzoek door een interne controle instantie. Onrechtmatige bevragingen zullen derhalve alleen bij toeval worden ontdekt.

In een aantal gevallen hebben wij vastgesteld dat op sommige "spoed" momenten niet altijd een geautoriseerde medewerker […] aanwezig is. […] Om in dit soort situaties toch toegang te krijgen tot de CIOT webtoepassing zijn inloggegevens, van zowel het netwerk als de CIOT webtoepassing met de bijbehorende PIN-code van de certificaten, tussen medewerkers uitgewisseld.

In het kader van de spoed procedures hebben wij geconstateerd dat het kenmerk wat wordt meegegeven in het CIOT-systeem veelal niet uniek identificerend is. Dit houdt in dat het kenmerk te algemeen van aard is en dat niet meer te herleiden is naar een specifiek dossier.

En het kan altijd erger:

Een aantal medewerkers van BOID's heeft aangegeven dat de inhoudelijke kennis qua wetsgrondslagen niet toereikend is om te kunnen beoordelen welke documenten nodig zijn voor een bepaalde bevraging. Bij [verwijderd] is ons zelfs gebleken dat het niet bekend was dat voor een bevraging ex artikel 126 WvS een Proces Verbaal dient te worden opgesteld.

En dat zijn structurele problemen. De onderzoekers schreven in datzelfde rapport:

Het is ons opgevallen dat veel bevindingen uit de eerste audit in 2007 bij de nu voor de eerste keer bezochte BOID's wederom optreden.

En uit het zojuist openbaar gemaakte rapport blijkt dat de situatie niet is verbeterd:

Bij andere BOID’s moet dit aspect nog steeds worden geregeld zodat dit een punt van aandacht blijft. […] Bij de audit 2009 hebben wij op dit punt een situatie aangetroffen vergelijkbaar met 2008 zodat voor de meeste BOID’s deze aanbevelingen eveneens nog onverkort van toepassing blijven. 

Bij de audit in 2009 hebben wij vastgesteld dat bij sommige BOID’s op het punt van het gebruik van de juiste rechtsgrondslagen de situatie is verbeterd en aanbevelingen zijn opgevolgd. Wel zou geautoriseerd en juist gebruik verdergaand geautomatiseerd kunnen worden afgedwongen. Over de gehele linie genomen constateren wij bij de BOID’s een situatie vergelijkbaar met 2008. De aanbevelingen blijven dus onverkort van kracht en dienen naar onze mening met hogeprioriteit te worden aangepakt.

Nieuw is de onduidelijkheid over het begrip "rechtmatigheid".

Wij constateren dat er geen eenduidigheid bestaat over het begrip rechtmatigheid en dat sprake is van verschillende beelden / interpretaties. Vanuit de BOID’s is dan ook de behoefte kenbaar gemaakt aan een nadere concrete invulling van dit begrip en aan richtlijnen hoe zij dit kunnen vaststellen.

Jammer genoeg hebben de onderzoekers geen concrete voorbeelden hiervan genoemd, waardoor het moeilijk inschatten is wat die onduidelijkheid precies inhoud. Ik kan me er weinig bij voorstellen.

Openbaar, maar niet overnemen of afdrukken

Het bestand dat door het ministerie is openbaar gemaakt, is beveiligd tegen afdrukken en het kopiëren van de inhoud. Dat is natuurlijk niet erg praktisch voor een rapport van bijna dertig pagina's. De beveiliging stelt echter niets voor: hier is het bestand zonder restricties