Uit een recent openbaar gemaakt audit-rapport blijkt dat opsporingsdiensten in 2008 onrechtmatig handelden bij het opvragen van gegegevens uit het Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT). Het CIOT is een centraal systeem dat opsporingsdiensten toegang geeft tot identificatiegegevens van gebruikers van telecommunicatiediensten. Dat blijkt uit een analyse van digitale waakhond Bits of Freedom.
Zo wisselen opsporingsambtenaren persoonsgebonden PIN-codes voor het CIOT onderling uit. Op die manier krijgen onbevoegde ambtenaren toegang tot opgeslagen data.
Volgens Bits of Freedom ervaren de opsporingsdiensten privacybeschermende maatregelen als administratieve last. Om die reden ontduiken ze voorgeschreven procedures. De opsporingsdiensten blijken de wettelijke waarborgen tegen onrechtmatige bevraging te negeren en onvoldoende op de hoogte zijn van geldende wet- en regelgeving.
Wet bewaarplicht telecommunicatiegegevens
Bits of Freedom vindt het belangrijk dat voor het handhaven van de Wet bewaarplicht telecommunicatiegegevens technische maatregelen worden genomen om onrechtmatige bevraging te voorkomen. Op 14 oktober houdt het ministerie van Economische Zaken een informatiemiddag over deze wet. Bits of Freedom zal daar pleiten voor technische maatregelen die voorkomen dat onbevoegden toegang krijgen tot de opgeslagen data.
Juridisch expert Axel Arnbak van Bits of Freedom: ‘Het is schokkend om te zien hoe weinig de wettelijke waarborgen, die in het leven zijn geroepen, door opsporingsdiensten worden gerespecteerd. We moeten voorkomen dat die situatie verergert, nu de Wet bewaarplicht telecommunicatiegegevens sinds 1 september van kracht is.'
Uit de richtlijnen voor behandeling van vertrouwelijke informatie van de overheid (bijvoorbeeld de wettelijk verplichte VIRBI richtlijn) blijkt dat het overheidspersoneel zelf verreweg het grootste risico is. Dit blijkt ook weer uit dit geval.
Dat bleek eerder al uit deze analyse van Rejo Zenger:
http://www.hackblog.nl/89-ciot-cis-de-telefoongids-overheid.html
Dit is toch niets nieuws?
Alle gegeven worden discreet behandeld, maar blijken later tocht weer openbaar te zijn.
Kijk maar naar anoniem bellen. Niets anoniem!
Ze weten precies wie je bent.
Eenmaal je gegevens in een database en je bent nooit meer anoniem.
Zo zie je maar weer, beveiliging is 20% techniek en 80% mensen.
Als ik dan lees dat er dus mensen zijn die “Persoonsgebonden” codes aan collega’s geven dan denk ik dat er eens een management met ballen moet opstaan en die persoon op staande voet ontslaan.
Dit zou van te voren bekend moeten zijn en bij uitreiken van dit soort codes zou de persoon in kwestie hier ook voor moeten tekenen.