Toezichtrapport 84 Verwerking van bulkdatasets door de AIVD en MIVD (2026) – publicatie
juli 1
De Commissie van Toezicht op de Inlichtingen en Veiligheidsdiensten (CTIVD) onderzocht of de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) aan de wettelijke randvoorwaarden voldoen bij grootschalige dataverwerking: een aantal belangrijke waarborgen is niet op orde, hierdoor zijn gegevens onrechtmatig verwerkt.
De AIVD en de MIVD maken bij de uitvoering van hun wettelijke taken gebruik van zogenaamde bulkdatasets. Dit zijn omvangrijke verzamelingen persoonsgegevens met soms miljoenen regels gegevens. Daarbij kan het gaan om namen en telefoonnummers maar ook om locatiegegevens, sociale mediagegevens of inhoudelijke communicatiegegevens. De datasets die de diensten gebruiken zijn onder meer afkomstig van andere onderdelen van de overheid. Ook kan het gaan om datasets die commercieel verkrijgbaar zijn of gestolen datasets die door hackers op het internet worden aangeboden. De AIVD en de MIVD mogen bulkdata onder meer gebruiken bij onderzoek naar terrorisme en spionagedreigingen uit andere landen. Wel zijn hier bepaalde voorwaarden aan verbonden. Zo mogen de gegevens na verwerving maar een beperkte tijd bewaard blijven. Ook mogen binnen de AIVD en de MIVD maar een beperkt aantal personen met de gegevens werken en moet de toegang tot de gegevens worden beperkt. De diensten moeten gegevens vernietigen die niet relevant blijken voor onderzoek van de diensten. De CTIVD concludeert dat de AIVD en de MIVD hun processen niet goed op orde hebben. Zo hadden groepen medewerkers onrechtmatig toegang tot persoonsgegevens. Ook werden grote hoeveelheden persoonsgegevens in meerdere gevallen te lang bewaard. De CTIVD stelt vast dat de problemen worden veroorzaakt door technische tekortkomingen in de systemen van de diensten. Ook schieten procedures tekort die de naleving van beleid en regelgeving moeten garanderen. Daarom doet de toezichthouder 13 aanbevelingen ter verbetering. Dit onderzoek heeft geleid tot een toezichtrapport over de verwerking van bulkdatasets door de AIVD en de MIVD, gepubliceerd op 1 juli 2026. De ministers van BZK en Defensie hebben de rapporten met hun beleidsreacties en bijbehorende bijlage aan het parlement gestuurd. Ministers Heerma (BZK) en Yesilgöz (Defensie) stellen dat de AIVD en de MIVD het beeld herkennen dat door de CTIVD geschetst wordt. In een reactie op het rapport geven zij aan dat het oplossen van de problemen bij de diensten hoog op de agenda staat. Ook stellen zij dat een aantal van de conclusies en aanbevelingen wordt meegenomen in de aanstaande herziening van de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017).
De Commissie van Toezicht op de Inlichtingen en Veiligheidsdiensten (CTIVD) onderzocht of de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) aan de wettelijke randvoorwaarden voldoen bij grootschalige dataverwerking: een aantal belangrijke waarborgen is niet op orde, hierdoor zijn gegevens onrechtmatig verwerkt.
De AIVD en de MIVD maken bij de uitvoering van hun wettelijke taken gebruik van zogenaamde bulkdatasets. Dit zijn omvangrijke verzamelingen persoonsgegevens met soms miljoenen regels gegevens. Daarbij kan het gaan om namen en telefoonnummers maar ook om locatiegegevens, sociale mediagegevens of inhoudelijke communicatiegegevens. De datasets die de diensten gebruiken zijn onder meer afkomstig van andere onderdelen van de overheid. Ook kan het gaan om datasets die commercieel verkrijgbaar zijn of gestolen datasets die door hackers op het internet worden aangeboden. De AIVD en de MIVD mogen bulkdata onder meer gebruiken bij onderzoek naar terrorisme en spionagedreigingen uit andere landen. Wel zijn hier bepaalde voorwaarden aan verbonden. Zo mogen de gegevens na verwerving maar een beperkte tijd bewaard blijven. Ook mogen binnen de AIVD en de MIVD maar een beperkt aantal personen met de gegevens werken en moet de toegang tot de gegevens worden beperkt. De diensten moeten gegevens vernietigen die niet relevant blijken voor onderzoek van de diensten. De CTIVD concludeert dat de AIVD en de MIVD hun processen niet goed op orde hebben. Zo hadden groepen medewerkers onrechtmatig toegang tot persoonsgegevens. Ook werden grote hoeveelheden persoonsgegevens in meerdere gevallen te lang bewaard. De CTIVD stelt vast dat de problemen worden veroorzaakt door technische tekortkomingen in de systemen van de diensten. Ook schieten procedures tekort die de naleving van beleid en regelgeving moeten garanderen. Daarom doet de toezichthouder 13 aanbevelingen ter verbetering. Dit onderzoek heeft geleid tot een toezichtrapport over de verwerking van bulkdatasets door de AIVD en de MIVD, gepubliceerd op 1 juli 2026. De ministers van BZK en Defensie hebben de rapporten met hun beleidsreacties en bijbehorende bijlage aan het parlement gestuurd. Ministers Heerma (BZK) en Yesilgöz (Defensie) stellen dat de AIVD en de MIVD het beeld herkennen dat door de CTIVD geschetst wordt. In een reactie op het rapport geven zij aan dat het oplossen van de problemen bij de diensten hoog op de agenda staat. Ook stellen zij dat een aantal van de conclusies en aanbevelingen wordt meegenomen in de aanstaande herziening van de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017).
Links:
AIVD en MIVD moeten bij bulkdataverwerking persoonlijke privacy beter beschermen
Gegevens