Chaos troef bij opsporingsdatabase CIOT

Al jaren grasduint de politie structureel onrechtmatig in de CIOT-telecomdatase zonder proces verbaal of controle. Een nieuw onderzoeksrapport concludeert nu: het is nog steeds een bende.


De regels en beperkingen voor bevragingen in de CIOT database, die wettelijk zijn vastgelegd, worden door bijna alle politiekorpsen met de voeten getreden. Dit ondanks talloze eerdere onderzoeken, rapporten, aanbevelingen, strenge woorden en beloftes van minister Opstelten van Veiligheid en Justitie.

2,3 miljoen keer toegang

In de CIOT-database worden telefoonnummers, mailadressen en internetgegevens van Nederlandse burgers gekoppeld aan hun NAW-gegevens. De politiediensten gebruiken deze data voor opsporing van verdachten om te achterhalen wie er achter een bepaald telefoonnummer of ip-adres schuilgaat. Telco's en internetproviders uploaden daarvoor dagelijks verplicht hun gehele actuele klantenbestand naar de database.

Deze privacygevoelige database wordt jaarlijks ruim 2 miljoen keer geraadpleegd door politie en Justitie. Vandaar dat de toegang tot deze bestanden streng is gereguleerd en minister Opstelten bandrukt "de privacy van de burger van het allergrootste belang" te vinden.

Stelselmatige slordigheid

Maar uit nieuw onderzoek van Justitie zelf blijkt dat politiekorpsen nog steeds stelselmatig de wet overtreden bij het opvragen van informatie uit de CIOT. Documenten ontbreken, processen verbaal zijn incompleet, er is geen controle op wie wat opzoekt en mocht die er wel controle zijn, dan wordt deze niet vastgelegd.

Slechts drie korpsen gebruiken een geautomatiseerd toegangs- en loggingssysteem voor CIOT, PoliOM geheten, waardoor controle achteraf mogelijk is. De overige korpsen konden in maar liefst driekwart van de onderzochte bevragingen niet de vereiste documenten tonen, constateert de Inspectie Veiligheid en Justitie (VenJ). Hierdoor was het dus op voorhand onmogelijk om de rechtmatigheid van deze bevragingen te controleren.

Ook de CIOT-auditing binnen de korpsen zelf is een zooitje. "Een kleine minderheid van de korpsen heeft dit proces beschreven. Van de uitgevoerde controles vindt bovendien geen vastlegging plaats."

Regels overtreden niet onrechtmatig

De Inspectie VenJ trekt echter een opvallend milde maar onjuiste conclusie. "Het ontbreken van de vereiste documenten wil niet zeggen dat er sprake is van een onrechtmatige bevraging", concluderen de onderzoekers. Uiteraard wordt precies deze zin door Opstelten overgenomen in zijn brief aan de Kamer.

De Inspectie spreekt zichzelf echter tegen met deze conclusie, want elders in het rapport constateert het dat bijvoorbeeld alleen al de vermelding van het misdrijf "een vereiste van rechtmatigheid" is. En dit gegeven ontbreekt bijvoorbeeld bij 20 procent van de onderzochte bevragingen.

Jarenlange misstanden

Medio 2010 bleek dat dat opsporingsambtenaren regelmatig hun CIOT-inloggegevens uitwisselen, waardoor mensen die niet bevoegd zijn toch de database in kunnen. Privacywaakhond CBP deed onderzoek en constateerde stelselmatig misbruik van bevoegdheden. Uit een ander onderzoek bleek dat de database leunt op wankele ict en belabberde security. Opstelten sprak strenge woorden en beloofde in maart 2011 binnen twee maanden schoon schip te maken.

De Inspectie constateert nu: "Vastgesteld wordt dat deze constateringen medio 2012 nog niet hebben geleid tot een adequate landelijke aanpak door de politiekorpsen en het ministerie van VenJ."

Begin 2012 stelde hoogleraar telecom- en privacyrechtGerrit-Jan Zwenne dat het toepassen van de sleepnettechnieken, waarbij soms honderden bevragingen tegelijk worden gedaan, in strijd met de wet is.

Opstelten doet nieuwe beloften

De Inspectie doet een aantal aanbevelingen die minister Opstelten overneemt. In 2013 komt het deze keer echt goed met de naleving van de CIOT-regels door de politie, belooft Opstelten de Tweede Kamer.