Nederländsk underrättelsetjänst tvingas radera enorma mängder olaglig data

Författare: Kave Noori

Den nederländska kommissionen för tillsyn av underrättelse- och säkerhetstjänsterna, Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD), har fattat ett med svenska mått sällsynt beslut. Ett klagomål från den ideella organisationen Bits of Freedom ledde till att tillsynsmyndigheten CTIVD beordrade underrättelsemyndigheterna AIVD och MIVD att radera enorma samlingar underrättelseinformation som inhämtats. Beslutet om klagomålet offentliggjordes den 15 juni 2022.

Vad är AIVD och MIVD?
Den nederländska Allmänna underrättelse- och säkerhetstjänsten, Algemene Inlichtingen- en Veiligheidsdienst (AIVD), fokuserar på att motverka terrorism, spionage, extremism och spridning av massförstörelsevapen. AIVD ger också råd till den nederländska migrationsmyndigheten om utländska personer som anses utgöra en risk för den nationella säkerheten. AIVDs ansvarsområden påminner om den svenska Säkerhetspolisens (SÄPOs) uppdrag, men AIVD är ingen polismyndighet, myndighetens personal får inte gripa personer eller använda våld.

Den nederländska militära underrättelse- och säkerhetstjänsten, Militaire Inlichtingen- en Veiligheidsdienst (MIVD), har enligt en animerad informationsvideo (nederländska) på sin webbplats, i uppdrag att tillhandahålla underrättelseinformation till militära och politiska ledare i Nederländerna. Myndigheten är verksam både i Nederländerna och utomlands i konfliktområden och beskriver sig själva som de nederländska beslutfattarnas “ögon och öron” i en kaotisk och komplex värld.

AIVD och MIVD har befogenhet att hacka sig in i datorer och andra digitala enheter för att samla in information till sina utredningar. Enligt AIVDs hemsida (nederländska) kan detta inbegripa att de skaffar sig tillgång till servrar eller enheter som tillhör någon annan än den myndigheten egentligen intresserar sig för. De får också avlyssna samtal eller observera människor genom att aktivera en digital enhets mikrofon och/eller kamera, men behöver separat tillstånd för det.

Om myndigheterna upptäcker okända sårbarheter i sitt sökande efter en ingång till en dator eller server kan de välja att inte rapportera säkerhetshålet till Nederländernas nationella cybersäkerhetscenter om det anses nödvändigt för  den nationella säkerheten.

AIVD och MIVD får sina rättsliga befogenheter från lagen om underrättelse- och säkerhetstjänster från 2017 (Wet op de inlichtingen- en veiligheidsdiensten 2017). CTIVD har befogenhet att utreda om underrättelsemyndigheternas agerande är lagligt. CTIVD har två avdelningar: en som granskar deras åtgärder på eget initiativ (tillsynsavdelningen) och en som behandlar klagomål (klagomålsavdelningen). Tillsynsavdelningen kan endast lämna rekommendationer till ministern, medan besluten från avdelningen för klagomålshantering är bindande.

Klagomålet
Den 7 juli 2021 lämnade Bits of Freedom (BoF) in ett klagomål till CTIVD:s avdelning för klagomålshantering, där de hävdade att AIVD och MIVD överskred tidsperioden som de lagligen fick behålla fem gigantiska uppgiftsamlingar (dataset) med underrättelseinformation. Klagomålet gällde fem dataset som identifierades i en rapport från CTIVD 2020.

År 2020 publicerade CTIVD:s tillsynsavdelning rapport nr 70 (engelsk version). I denna rapport rådde tillsynsorganet AIVD och MIVD att radera vissa gigantiska dataset som samlats in med hjälp av myndigheternas  hackningsbefogenhet. Tillsynsavdelningen medger dock i sitt beslut att det kan finnas användbara uppgifter för att utföra AIVD:s och MIVD:s uppdrag bland dessa gigantiska dataset. CTIVD:s tillsynsavdelning kan endast lämna rådgivande rekommendationer till ministrarna. Ministrarna beslutade i slutändan att inte följa tillsynsavdelningens råd i rapport 70.

BoF ansåg i sitt klagomål att bevarandet av de fem gigantiska dataseten utgör ett stort intrång i många personers privatliv, och enligt nederländsk lag måste dessa uppgifter förstöras efter högst ett och ett halvt år. BoF ville att myndigheterna skulle följa lagen och radera dessa uppgifter. BoF klagade också över det sätt på vilket BoF antog att AIVD och MIVD delade dessa uppgifter med utländska underrättelsetjänster.

CTIVD konstaterar att den nederländska underrättelselagen inte specificerar hur man ska bedöma insamlade uppgifters relevans, men inrikesministern och försvarsministern ansåg att det var möjligt att betrakta ett gigtantiskt dataset i sin helhet som relevant att behålla. CTIVD:s tillsynsavdelning klargör att lagen inte ger utrymme  att klassa ett helt dataset som “relevant”. Detta beror på att ett gigantiskt dataset utan gallring också innehåller information som inte är viktig för underrättelsetjänsternas arbete.

Den nederländska regeringen antog en tidsbegränsad förordning som trädde i kraft den 6 november 2020. Enligt förordningen får AIVD och MIVD lagra och använda uppgifter längre än ett och ett halvt år som lagen föreskriver. Förordningen gäller för alla gigantiska dataset, inklusive de fem dataset som BOFs klagomål gäller.

CTIVD’s beslut

Avdelningen för klagomålshantering beslutade att

  1. De fem dataseten inte i sin helhet kan klassas som “relevanta” för fortsatt lagring utan gallring. Detta beror på att dataseten innehåller enorma mängder uppgifter rörande personer som inte är och aldrig kommer att bli relevanta för AIVD:s och MIVD:s utredningar. Den maximala tidsfristen på ett och ett halvt år i lagen har enligt CTIVD överskridits, så AIVD och MIVD får inte längre lagra dessa fem stora dataset utan att rensa bort irrelevanta uppgifter.
  2. AIVD och MIVD har tillämpat den tillfälliga förordningen på ett sätt som inte var förenligt med lagen. I sina överväganden har AIVD och MIVD inte tillräckligt väl beskrivit varför de insamlade dataseten fortfarande är viktiga för deras arbete. Avdelningen för klagomålshantering uppger samtidigt i sitt beslut att den förstår att de fem stora dataseten är viktiga för att skydda Nederländerna, men att ett och ett halvt år är den maximala tidsfrist som anges i lagen och som måste följas. CTVID noterar i sammanhanget att ministrarna inte bad parlamentet om en förlängning av denna tidsfrist, trots att CTIVD:s tillsynsavdelning tidigare fastställt att det är olagligt att klassa ett gigantiskt dataset i sin helhet som “relevant” att bevara.
  3. Att de fem stora dataseten måste förstöras, eftersom de har bevarats längre än den maximalt tillåtna tiden på ett och ett halvt år. Besluten från avdelningen för klagomålshantering är bindande, så inrikes- och försvarsministrarna måste förstöra dataseten och informera avdelningen om hur och när de gjorde det.
  4. AIVD och MIVD har inte delat omfattande dataset med utländska underrättelsetjänster sedan offentliggörandet av tillsynsavdelningens rapport nr 70. Därför avstår avdelningen för klagomålshantering från att fatta beslut om denna del av klagomålet.

Avslutning
Artikelförfattaren känner inte till att några liknande eller motsvarande beslut ska ha fattats i Sverige.

I Sverige kontrollerar Integritetsskyddsmyndigheten (IMY) behandlingen av uppgifter vid Försvarets radioanstalt (FRA) och Säkerhetspolisen (SÄPO). FRA behöver också tillstånd från Försvarsunderrättelsedomstolen för att bedriva signalspaning, och de har Statens inspektion för försvarsunderrättelseverksamheten (SIUN) som ytterligare tillsynsmyndighet.

En sökning på IMY:s webbplats visade inte på några fall där IMY beordrat FRA eller SÄPO att radera stora datamängder. Försvarsunderrättelsedomstolen eller SIUN verkar inte publicera enskilda beslut på sina hemsidor.

Läs mer:

CTIVDs engelskspråkiga nyhet med länk till en engelsk sammanfattning av beslutet

Nederländska allmänna underrättelse och säkerhetstjänsten, AIVDs hemsida där deras uppdrag förklaras (på nederländska)

Säkerhetspolisens uppdrag

Nederländska militära underrättelse och säkerhetstjänsten, MIVDs, hemsida med informationsvideon om dess uppdrag (nederländska)

Den nederländska lagen om underrättelse- och säkerhetstjänsterna som antogs år 2017 (nederländska)

Beskrivning av CTIVDs klagomålsprocedur (engelska)

Bits of Freedom välkomnar CTIVDs beslut i ett uttalande (engelska)

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem

    Forum för Dataskydd bidrar till ett tryggt informationssamhälle och värnar om integritetsskydd idag och i morgon. Vi förstärker, förenklar och ökar medvetenheten kring integritetsskydd i Europa genom att skapa ett tongivande forum för samverkan och informationsspridning. Stärk ditt dataskyddsarbete med kompetens från drygt 800 medlemmar på våra seminarier och nätverksträffar. Medlemmar går gratis på våra seminarier och nätverksträffar samt till rabatterat pris på Nordic Privacy Arena.

    Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.


    Det är viktigt att meddela oss om du byter arbetsplats, faktureringsadress, telefonnummer, mailadress eller annan viktig information. När du byter arbetsplats eller annan ovannämnd information mailar du oss och meddelar detta på info@dpforum.se så att vi kan säkerställa kontinuitet i ditt medlemskap.


    Ordinarie medlemskap: 1645 kr per år.
    Student: Gratis första året, sedan 200 kr per år (är du anställd på ett företag gäller ordinarie pris).















    Genom att fylla i formuläret, godkänner jag att Forum för Dataskydd lagrar mina personuppgifter i sin databas som kommer användas för att förse mig med relevant information om Forum för Dataskydds tjänster och erbjudanden.

    This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
    Go to cart