De Nederlandse inlichtingendienst AIVD heeft op het dark web twee datasets gekocht met elk privégegevens van meer dan honderd miljoen mensen. Dat blijkt uit het toezichtsrapport van de toezichthouder CTIVD.
AIVD-medewerkers lazen op een niet nader genoemde nieuwssite in beide gevallen dat een dataset te koop was op het dark web, waarna de medewerkers contact legden met de verkopers en de dataset aanschaften onder een valse naam, schrijft de CTIVD. "Daarbij was het noodzakelijk onder een valse naam via een berichtensysteem met de aanbieder van de dataset te communiceren over onder meer de wijze van betaling en ontvangst van de gegevens."
Voor de eerste dataset heeft de medewerker van de AIVD die de set kocht vooraf toestemming gevraagd bij het ministerie van Binnenlandse Zaken, maar bij de tweede set is dat niet gebeurd. Toen heeft hij wel intern overlegd. De AIVD-medewerkers wilden snel handelen, omdat ze niet wisten of de datasets online lang beschikbaar zouden zijn. Desondanks zegt de CTIVD dat het kopen van de tweede dataset onrechtmatig is geweest, omdat de dienst toestemming had moeten krijgen van een ministerie.
De CTIVD schrijft dat de datasets veel gegevens bevatten die de AIVD en MIVD niet nodig hebben. "Daarbij zijn de gegevens niet door de betrokkenen zelf publiekelijk geopenbaard en zullen zij dat, gegeven de vertrouwelijkheid van deze gegevens, ook niet snel doen. Deze omstandigheden leiden tot de conclusie dat de verwerving van deze bulkdatasets een meer ernstige privacy-inmenging oplevert."
De toezichthoudende commissie is wel van mening dat de AIVD zorgvuldig met de gegevens is omgesprongen. Slechts enkele medewerkers van de inlichtingendiensten kunnen bij alle gegevens en andere medewerkers kunnen alleen zien of de datasets bepaalde gegevens omvatten. Vermoedelijk gaat het om datasets van grote datalekken van de afgelopen jaren, maar het rapport noemt niet welke dat dan precies zijn.