Wat gebeurt er met de gegevens die overheden, bedrijven en instellingen over ons opslaan? Wat als ze gehackt of gegijzeld worden? Hoe veilig zijn onze systemen, en onze data? Lees meer

De analoge en digitale wereld lopen steeds meer in elkaar over, internet en technologie knopen alles aan elkaar: beleid, sociale structuren, economie, surveillance, opsporing, transparantie en zeggenschap.

Ondertussen worden we overspoeld door ransomware, digitale desinformatie en diefstal van intellectueel eigendom. Conflicten worden tegenwoordig ook uitgevochten in cyberspace. Hoe kwetsbaar zijn we precies, en hoe kunnen we ons beter wapenen?

We laten overal digitale sporen achter, vaak zonder dat te weten of er iets tegen te kunnen doen. Al die aan ons onttrokken data worden bewaard en verwerkt, ook door de overheid. Dat gebeurt niet altijd netjes. Zo veegde  het Europees Hof voor de Rechten van de Mens in een vernietigend vonnis het Nederlandse anti-fraudesysteem Syri van tafel. Hoe riskant het is om op dataverzamelingen van burgers algoritmes los te laten – datamodellen die vrij autonoom beslissingen nemen – bewijst de Toeslagenaffaire. Die laat ook zien wat het effect is van ‘verkeerde’ registraties die zich als onkruid door overheidssystemen lijken voort te planten, zonder dat iemand ze nog kan stoppen of wijzigen.

En zijn al die gegevens van burgers en klanten wel veilig? Wie kan erbij, wie mag erbij, wat als ze gehackt of gegijzeld worden? Hoe kwetsbaar maakt onze afhankelijkheid van data ons?

41 artikelen

© Fenna Jensma

Hoogleraar inlichtingen en recht Jan-Jaap Oerlemans ziet steeds meer overheidsinstanties inlichtingen over burgers verzamelen. En omdat toezicht en adequate wetgeving ontbreken, gaan sommige instanties over de schreef. Oerlemans waarschuwt dat burgers niet voldoende zijn beschermd tegen misbruik van overheidsmacht, en pleit voor meer toezicht. ‘Het gaat niet goed met de rechtsstaat.’

Collegeschrift dicht, tas om, fietsen, thuis gamen. In het midden van de jaren ‘00 was het leven van de Leidse rechtenstudent Jan-Jaap Oerlemans overzichtelijk. Als alfa met een interesse voor techniek was hij een vreemde eend in de bijt op de faculteit. Maar al snel vielen zijn liefde voor recht en technologie samen, toen hij zich in cybercriminaliteit verdiepte. 

Hij schreef zijn scriptie over de strijd tegen kinderporno en was gefascineerd door het kat-en-muisspel tussen de verspreiders en de politie, die hun anonimiseringstechnieken met innovatieve opsporingsmethoden probeerde te omzeilen. Een lastige taak, die bemoeilijkt werd omdat het Wetboek van strafvordering, waarin de opsporingsbevoegdheden van de politie zijn geregeld, nog niet was toegerust op de digitale omgeving.    

Oerlemans volgde de ontwikkeling van opsporings- en inlichtingentechnieken in het digitale domein sindsdien op de voet. Hij promoveerde op cybercriminaliteit en ging aan de slag als onderzoeker bij de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD). Toen die een leerstoel inlichtingen en recht aan de Universiteit Utrecht instelde, rolde zijn naam uit de bus.

Omdat Oerlemans niets mag vertellen over zijn werk bij de CTIVD, spreekt Follow the Money hem in zijn hoedanigheid als hoogleraar.

‘Rotterdam runde in feite een gemeentelijke inlichtingendienst’

Het werk van politie en veiligheidsdiensten is door digitalisering veranderd, stelt hij. Terwijl cybercriminelen professionaliseren en de dreiging van statelijke actoren toeneemt, bieden technologische ontwikkelingen steeds meer mogelijkheden om dit te bestrijden. De ontwikkelingen maken ook dat meer overheidsinstanties zelfstandig inlichtingen zijn gaan verzamelen. Maar volgens Oerlemans is niet alles wat ze doen ook toegestaan: ‘De wetgeving hierover is niet altijd duidelijk en adequaat toezicht is er niet. Daardoor komt de relatie tussen inlichtingenwerk en fundamentele rechten onder spanning. En soms gaat het echt fout.’

Om daarmee te beginnen: de gemeente Rotterdam zette, met financiering van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV), burgers in om inlichtingen te verzamelen over wijkbewoners. Wat ging daar mis? 

‘Om zicht te krijgen op radicalisering zette de gemeente een netwerk op van 60 burgers die gevraagd werd wat er in hun gemeenschap speelde. Dat netwerk werd uitgebreid tot 200 mensen, die werden aangestuurd om informatie over specifieke onderwerpen te verzamelen. Dan run je in feite een gemeentelijke inlichtingendienst.   

De informatie die zo binnenkwam, werd vervolgens gebruikt in overleggen tussen gemeente, de politie, het Openbaar Ministerie, de AIVD en de NCTV, waarin werd beslist of er maatregelen tegen bepaalde mensen konden worden genomen. Ik vind dat echt schokkend, want het is totaal niet duidelijk of het niet gewoon om roddels ging en of de gemeente dit eigenlijk wel mag doen. Volgens de onderzoekers is dat een grijs gebied, maar ik vind het op sommige punten echt te ver gaan, vooral voor wat betreft de inzet van burgers als “informanten”.’

De politiek heeft amper aandacht aan de kwestie besteed. 

‘Burgemeester Aboutaleb haalde volgens NRC zijn schouders op nadat er  een vernietigend onderzoeksrapport verscheen. Hij vindt het nodig, dus ze doen het. Maar zo werkt het niet. 

In de landelijke politiek bracht het ook nauwelijks iets teweeg. Er was voor de zomer wel een debat in de Tweede Kamer over de oerslechte NCTV-wet die nu voorligt, maar over Rotterdam bleef het stil. Ik begrijp niet dat er geen maatregelen zijn getroffen.’

De politie mag geen bijzondere opsporingsbevoegdheden – zoals tappen, hacken of stelselmatig observeren – inzetten alleen om haar informatiepositie te versterken

Er is een belangrijk verschil tussen politie en inlichtingen- en veiligheidsdiensten, betoogt Oerlemans. Beide verzamelen informatie, maar alleen de politie heeft opsporingsbevoegdheid en mag mensen arresteren. Hierdoor ontstaat een belangrijk verschil, zegt hij: ‘Inlichtingendiensten vergaren informatie om zicht te krijgen op gekende en ongekende bedreigingen van de nationale veiligheid. Bij de politie is dat anders. Zij verzamelt informatie als bewijs, maar uitsluitend over strafbare feiten en om een verdachte te kunnen identificeren, op te sporen en voor de rechter te brengen. Ze mag geen bijzondere opsporingsbevoegdheden – zoals tappen, hacken of stelselmatig observeren – inzetten alleen om haar informatiepositie te versterken. Maar door de digitalisering van criminaliteit lijkt er verandering te komen in die waterscheiding.

In november 2021 publiceerde het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC) een rapport over de aanpak van cybercriminaliteit door de politie. Dat opent ermee dat de politie geen inlichtingen mag verzamelen, maar concludeert in versluierde bewoordingen dat ze dat toch doet. 

‘Zo lees ik het ook, ja.’  

Dat past toch niet binnen hun taakstelling?

‘Bij cybercriminaliteit is het ontzettend moeilijk om tot arrestaties te komen. Voor zover je verdachten al kunt identificeren, zitten die vaak in het buitenland; daarnaast weigeren landen als Rusland onderdanen uit te leveren. 

Strafrecht en opsporing werken daarom niet altijd goed en dus worden er tegen cybercriminaliteit andere strategieën ingezet. Het Team High Tech Crime (THTC) van de politie heeft daarvoor een model ontwikkeld dat is gebaseerd op datagedreven opsporing, waarbij je op een strategische manier informatie verzamelt om verdachten te identificeren. Pas als dat lukt, wordt bedacht wat de juiste interventie is. Er wordt dan niet per se ingezet op de opsporing en arrestatie van een verdachte, maar bijvoorbeeld op verstoring van zijn activiteiten. Dan zet de politie haar bijzondere opsporingsbevoegdheden dus in voor intelligence vergaring.’

Treedt de politie dan buiten haar bevoegdheden? 

‘Het gaat verder dan wat het Wetboek van strafvordering beoogt. 

In zijn algemeenheid is de vraag of dit mag, lastig te beantwoorden. Bijzondere opsporingsbevoegdheden mogen niet puur worden ingezet om inlichtingen te vergaren, maar in de praktijk is het vaak een nevendoel, naast opsporing. Stel dat de politie onderzoek doet naar een criminele organisatie, waarvan ze niet van tevoren weet wie er onderdeel van uitmaakt. Ze zet dan primair in op identificatie en arrestatie, maar heeft als secundair doel dat ze de infrastructuur van die club offline mag halen als ze niet in dat primaire doel slaagt. Als dat de volgorde is, kun je betogen dat het door de beugel kan.’  

Het WODC stelt dat sommige onderzoeken van het Team High Tech Crime geen hoofdverdachte opleveren, ‘maar wel informatie over andere vormen van criminaliteit die vervolgens in andere opsporingsonderzoeken kon worden gebruikt, of informatie die kon worden gebruikt bij de inzet van tegenhoudmaatregelen’. Dat gaat toch niet meer alleen om opsporing? 

‘Daar zit inderdaad spanning, maar ik denk ook dat de samenleving verwacht dat de politie iets doet aan bestrijding en handhaving van criminaliteit met de gegevens die ze in bezit heeft. We moeten het er dus over hebben of we het oké vinden dat de politie bijzondere opsporingsbevoegdheden inzet voor verstoring en het inwinnen van inlichtingen, bijvoorbeeld ten behoeve van toekomstige onderzoeken of andere doeleinden dan opsporing. Want de wetgever stelt de grenzen, niet de politie zelf. 

‘Veel advocaten nemen niet eens meer de moeite om vormverzuim aan te kaarten, dat heeft toch geen zin’

En als wij dit goed vinden, moeten we checks & balances inbouwen om te zorgen dat het goed blijft gaan. Dan moet er onafhankelijk toezicht komen op de rechtmatige inzet van die bevoegdheden. In theorie houdt een strafrechter dat in de gaten, maar bij cybercrime komt het zelden zo ver, omdat er geen verdachte kan worden aangehouden. Voor zulke zaken moet er daarom een andere, onafhankelijke instantie komen die de inzet van bijzondere bevoegdheden op rechtmatigheid controleert.’ 

Komt het wel tot een strafzaak en blijkt de politie haar boekje te buiten zijn gegaan, dan worden de vormverzuimen van de politie bijna altijd weg gerelativeerd. Daardoor leidt dat doorgaans niet langer tot sancties, zoals strafvermindering of bewijsuitsluiting. Veel advocaten nemen niet eens meer de moeite om vormverzuim aan te kaarten, dat heeft toch geen zin.’

Datagedreven opsporing is dus voortgekomen uit de wens om cybercriminaliteit te bestrijden. Maar inmiddels wordt het ook tegen andere vormen van criminaliteit ingezet, zoals georganiseerde misdaad. 

‘Datagedreven opsporing houdt kort gezegd in dat als je heel veel data in huis hebt gehaald voor een bepaald onderzoek, je die data doorloopt en kijkt of je van daaruit andere opsporingsonderzoeken kunt starten. Het is voortgekomen uit de cybercrime dossiers, omdat je daar vaak met grote datasets te maken hebt, die bijvoorbeeld via internettaps of gekopieerde servers zijn verkregen. 

Die strategie wordt nu ook gebruikt bij de opsporing van georganiseerde misdaad, zoals bij de cryptofoon-operaties rond EncroChat, Sky ECC en Ennetcom. Deze aanbieders van versleutelde berichtendiensten werden vooral door criminelen gebruikt. In die zaken heeft de politie tientallen, soms zelfs honderden miljoenen berichten afgetapt en gekraakt. Om daar zoveel mogelijk uit te halen, wordt nu dezelfde aanpak ingezet.’

Veel advocaten hebben kritiek op deze zaken. Zij vinden het OM onvoldoende transparant over de gekraakte encryptie en vragen zich af of het bewijs wel rechtmatig is verkregen. Ruim honderd strafpleiters ondertekenden recent een brandbrief. Zijn hun zorgen terecht? 

‘Ik snap ze wel. Overigens is er inmiddels best veel duidelijk geworden over het opsporingsproces in die zaken, en dan vooral rond de EncroChat-operatie. In de vonnissen die daaruit zijn voortgekomen, zie ik geen gekke toepassing van de rechtsregels. 

Maar het heeft veel te lang geduurd voordat openheid over het opsporingsproces werd verschaft. Advocaten hebben lang druk moeten uitoefenen om te achterhalen wat de rol van Nederland was bij die internationale operaties en hoe ze precies verliepen. Het OM gaf daar pas duidelijkheid over nadat de rechter het daartoe dwong. Dat had veel eerder gemoeten.’

De advocaten in deze zaken klagen dat zij onvoldoende inzage krijgen in het bewijsmateriaal dat tegen hun cliënten wordt gebruikt. Is dat zo?   

‘Als je de vonnissen leest, zie je dat de toegang tot bewijsmateriaal en gebruikte data de afgelopen twee jaar drastisch is verbeterd. In 2019 was het: hier heb je een cd’tje met ruwe data, zie maar hoe je dat uitleest. Nu heeft de verdediging toegang tot de voor hen relevante data, die ze mogen doorzoeken met dezelfde forensische tools als de politie. 

Maar die toegang is niet onbeperkt. Dat onderschrijft het Europees Hof voor de Rechten van de Mens. In principe moet je een verdachte toegang geven tot alle data die je in de bewijsvoering tegen hem gebruikt, maar er kunnen redenen zijn om bepaalde informatie niet te delen, bijvoorbeeld wanneer die betrekking heeft op andere mensen. Als die informatie gebruikt wordt in andere strafdossiers, wil je dat proces niet frustreren en je wilt ook niet dat men in de ruwe data op zoek gaat naar informanten, die daardoor in gevaar komen.  

Tegelijkertijd raakt het aan het recht op een eerlijk proces wanneer de toegang tot data of informatie over hoe die is verzameld, wordt beperkt. Want in hoeverre kun je dan controleren of de informatie betrouwbaar is, en of er een alternatieve verhaallijn mogelijk is? Daar is nog geen duidelijke grens in getrokken.’

OM-topman Gerrit van der Burg zei onlangs over datagedreven opsporing tegen Follow the Money: ‘Vroeger zocht een zaak bewijs, nu zoekt het bewijs een zaak.’ Dat is toch niet hoe opsporing hoort te werken?     

‘Het is wel de praktijk. Het is ook ouderwets te denken dat je bij onderzoeken naar georganiseerde misdaad eerst een verdachte moet hebben en dan pas aan opsporing kunt doen. Bij georganiseerde misdaad mag je al een onderzoek starten naar betrokkenheid bij het plegen van misdrijven, zoals witwassen. Je wilt zo’n organisatie immers zo vroeg mogelijk in kaart brengen om de verdachten in beeld te krijgen en het netwerk op te rollen.’

Betekent dit dat iedereen die zo’n cryptofoon gebruikt, bij voorbaat verdacht is? 

‘In essentie wel. In de machtigingen voor het hacken en tappen van hun servers staat dat EncroChat, Sky ECC én hun gebruikers worden verdacht van betrokkenheid bij georganiseerde misdaad.  

Ik zeg niet dat ik dat niet problematisch vind, want een deel van die mensen heeft niets gedaan. Wat gebeurt er met hun gegevens? Daar wringt de schoen, want er is geen uiterste bewaartermijn bepaald voor de miljoenen berichten die de politie in deze zaken heeft binnengehaald, ook niet voor berichten van onschuldigen. Die moeten op een gegeven moment gewoon worden vernietigd en dat dient te worden gecontroleerd.’ 

Een essentieel onderdeel van de rechtsstaat is dat burgers worden beschermd tegen misbruik van overheidsmacht. Het gaat dus niet goed.

U heeft eerder gezegd dat het tijd is voor een toezichthouder voor de politie, maar geldt dat niet voor al die inlichtingenclubs? 

‘Ik vind van wel. Formeel houdt de Autoriteit Persoonsgegevens (AP) toezicht op de verwerking van persoonsgegevens door overheidsinstellingen, maar ik zie geen activiteit van ze op inlichtingengebied. Intussen doen de NCTV en Rotterdam dingen die niet door de beugel kunnen, en ook bij de cryptofoon-zaken staat er spanning op het wettelijke stelsel. 

We moeten daarom naar een vorm van toezicht zoals bij de CTIVD. Met een toezichthouder die niet alleen procedures checkt, maar ook de rechtmatigheid en proportionaliteit van inlichtingenbevoegdheden toetst, en de verwerking van gegevens. Een toezichthouder die afdwingbare toegang krijgt tot data, locaties en mensen, en die openbaar rapporteert. Dat is essentieel.’

Hoe zou dat toezicht eruit moeten zien? 

‘Je moet goed nadenken waar je dat belegt, maar het moet gespecialiseerd toezicht zijn. Het belangrijkste is dat er voor alle instanties die zich met inlichtingen bezighouden checks & balances komen die voorkomen dat het mis gaat.  

De wetgever heeft hier een taak. Het is logisch dat een gemeente zicht wil hebben op mogelijke rellen, om maar iets te noemen. Maar hoe ver mogen ze daarbij gaan? Mogen ze open fora op het internet bekijken, zodat ze de politie tijdig kunnen inzetten? Dat valt te begrijpen. Maar mogen ze ook undercover in een Telegram-kanaaltje van vier relschoppers? Mag de gemeente speciale software inzetten om locatiegegevens te achterhalen? Dat zijn grenzen die de wetgever moet stellen, maar die laat dat nu na.’ 

Wat betekent het voor de rechtsstaat als wetgeving en toezicht tekortschieten in de regulering van de inlichtingenbehoefte van al die instanties? 

‘Er is gebrek aan transparantie over de manier waarop overheidsorganisaties inlichtingen verzamelen’

‘Een essentieel onderdeel van de rechtsstaat is dat burgers worden beschermd tegen misbruik van overheidsmacht. Het gaat dus niet goed. 

Er is gebrek aan transparantie over de manier waarop overheidsorganisaties inlichtingen verzamelen, door wie dat gebeurt, hoe gegevens worden verwerkt en gebruikt, en op welke grondslag. Dat kan in strijd komen met het recht op een eerlijk proces. Soms zal dat gerechtvaardigd zijn, maar als men vanuit de praktijk niet over inlichtingenactiviteiten naar buiten treedt en toezichthouders er niet over rapporteren, is een debat onmogelijk.’

Terwijl Oerlemans pleit voor beter toezicht op de inlichtingenactiviteiten van allerlei overheidsinstanties, behandelt de Tweede Kamer binnenkort een voorstel voor een tijdelijke wet die het toezicht op de AIVD en de MIVD ingrijpend zal veranderen.

Dat moet de inlichtingendiensten meer armslag geven in de strijd tegen statelijke actoren uit landen met een offensief cyberprogramma tegen Nederland. Onderdeel van het wetsvoorstel is dat de rechtmatigheidstoets van de inzet van bijzondere bevoegdheden – zoals hacken en het op grote schaal onderscheppen van data op internetkabels (bulkinterceptie) – niet langer vooraf plaatsvindt door de Toetsingscommissie Inzet Bevoegdheden (TIB), maar tijdens en na de inzet daarvan door de CTIVD.

Waarom is deze wijziging in het toezicht nodig? 

‘De diensten en het Nationaal Cyber Security Centrum (NCSC) zeggen al jaren dat de dreiging van statelijke actoren toeneemt. Hacken en bulkinterceptie op de kabel zijn in dat verband belangrijke bevoegdheden voor de diensten, maar komen niet uit de verf. De onafhankelijke Commissie Jones-Bos, die in 2021 de Wet op de inlichtingen- en veiligheidsdiensten (Wiv 2017) evalueerde, en de Algemene Rekenkamer stelden vast dat de TIB daar debet aan was, door aanvullende voorwaarden te stellen aan de inzet van die bevoegdheden. Het wetsvoorstel pakt dat aan: de werkwijze van het toezicht wordt veranderd van een bindende beslissing vooraf naar bindend toezicht tijdens en achteraf. Dat doet recht aan de dynamische inzet van deze bevoegdheden in de praktijk.’

De afgelopen jaren hebben de diensten veel commentaar gehad op de TIB. Ze vonden die te streng, wat hun werk onmogelijk maakte. Maar in 2021 wees de TIB slechts 3 procent van de verzoeken van de AIVD af om bijzondere bevoegdheden in te zetten. Dat valt toch reuze mee? 

‘Het gaat er niet alleen om of je als dienst door mag met je werk, maar ook onder welke voorwaarden. In de toets die de TIB doet, zit een aantal open normen, zoals proportionaliteit  – staat de inzet van een bevoegdheid in verhouding tot de gevolgen ervan voor fundamentele burgerrechten, zoals privacy. Die normen worden nu door de TIB ingevuld met aanvullende voorwaarden: ‘Als je het zo en zo doet, dan mag het!’ Maar er is nooit een politieke discussie gevoerd of de TIB dat wel mag, of hoe ver zij daar in kan gaan. Intussen leidt dit soms tot uitgeklede toestemming, of tot micromanagement, wat de boel vertraagt. Dat heeft gevolgen voor de inlichtingenpositie van de diensten.’

TIB-lid Bert Hubert is het niet met het wetsvoorstel eens en stapte uit de TIB. Hij sprak van een afschaling van het toezicht en zei bij de NOS dat het voorstel een ‘Sleepwet 2.0’ is. Je reageerde fel op Twitter. Waarom? 

‘Ik liet me een beetje gaan, maar ik vind de term ‘sleepwet’ echt verschrikkelijk. Dat is het niet en Bert weet dat. De diensten zijn niet op zoek naar data van alle Nederlanders, ze zoeken gegevens die nodig zijn voor hun taak. In de tijdelijke wet gaat het bovendien om een heel specifieke context.

Ik zie het niet als afschaling van toezicht, maar als een verschuiving, die bovendien beter past bij de hackbevoegdheid en bulkinterceptie. Vergeet niet dat de Algemene Rekenkamer en de Commissie Jones-Bos al concludeerden dat het vastlopen van de inzet van die bevoegdheden invloed heeft op het anticiperend vermogen van de diensten. Het wetsvoorstel probeert die blokkade vooraf weg te nemen, zodat zij hun werk beter kunnen doen. In ruil daarvoor komt er bindend toezicht tijdens en na de inzet van de hack- en interceptiebevoegdheid. Ik sta daar positief tegenover.’   

Misschien willen de diensten niet alles van iedereen weten, maar in hetzelfde item bij de NOS suggereerde je oude baas Ronald Prins dat ook interceptie op zeekabels aan de landsgrenzen kan worden ingezet. Dan gaat het toch om gigantische hoeveelheden informatie?

‘Of ze op zeekabels zitten of niet kan ik niet zeggen. Maar kabelinterceptie is natuurlijk minder gericht dan een internettap en het kan inderdaad om gigantische hoeveelheden verkeer gaan. Daar hoeven we niet geheimzinnig over te doen. Maar dat gebeurt wel binnen de kaders van de taakuitvoering van de diensten. In dit geval: statelijke actoren met een offensief cyberprogramma tegen Nederland. Ze hoeven niet te weten wat voor porno Henk uit Rotterdam ‘s avonds zit te kijken.’ 

En je vertrouwt erop dat niet langs die weg alle internetgegevens van een wijk of een stad in Nederland worden opgehaald? 

‘Gezien de toelichting op de wet en de bedoeling daarvan gaat het niet om de internetgegevens van personen in een wijk of stad in Nederland, dus ja, daar vertrouw ik op. Het is vervolgens de taak van toezichthouders om dat te controleren en over hun bevindingen te rapporteren.’

De afgelopen jaren zijn de diensten op hun vingers getikt over de manier waarop ze bulkinterceptie toepasten terwijl ze onder verscherpt toezicht stonden. Ook weigerden ze de gegevens van miljoenen Nederlanders te verwijderen, hoewel ze daar opdracht toe hadden gekregen van de CTIVD. Is uw vertrouwen dan niet naïef? 

‘Dat helpt niet, maar ik begrijp ook de dilemma’s van de diensten. Kijk, als data vernietigd moet worden, dan moet dat gebeuren. Maar dan is het weg – en het gaat wel ergens om, namelijk om gegevens waarvan de AIVD en de MIVD zeggen dat ze later van pas kunnen komen om de nationale veiligheid te beschermen. 

De tijdelijke wet biedt de diensten goede oplossingen hoe met bulkdatasets om te gaan en hoe dat kan worden gecontroleerd. Maar het is ook tijd dat de discussie wordt gevoerd hoe wij als maatschappij willen dat overheidsinstellingen inlichtingen verzamelen, en hoe die data wordt verwerkt en bewaard. Daar bestaat nu te veel onduidelijkheid over, en er is onvoldoende toezicht op.’