In de CIOT-database worden telefoonnummers, mailadressen en internetgegevens van Nederlandse burgers gekoppeld aan hun NAW-gegevens. De politiediensten gebruiken deze data voor opsporing van verdachten om te achterhalen wie er achter een bepaald telefoonnummer of IP-adres schuilgaat. Telco’s en internetproviders uploaden daarvoor dagelijks verplicht hun gehele actuele klantenbestand naar de database.

Deze privacygevoelige database wordt jaarlijks meer dan 2 miljoen keer gebruikt  door politie en Justitie. Vandaar dat de toegang tot deze bestanden streng is gereguleerd en minister Opstelten benadrukt ‘de privacy van de burger van het allergrootste belang’ te vinden. Maar blijkbaar stelt die toezegging niets voor en kunnen we onze overheidsorganen zelf niet meer vertrouwen om de wet na te leven.

Uit nieuw onderzoek van Justitie blijkt dat politiekorpsen stelselmatig de wet overtreden bij het opvragen van informatie uit de CIOT. Documenten ontbreken, processen verbaal zijn incompleet, er is geen controle op wie wat opzoekt en mocht die er wel controle zijn, dan wordt deze niet vastgelegd. Slechts drie korpsen gebruiken een geautomatiseerd toegangs- en loggingssysteem voor CIOT, PoliOM geheten, waardoor controle achteraf mogelijk is. De overige korpsen konden in maar liefst driekwart van de onderzochte bevragingen niet de vereiste documenten tonen, constateert de Inspectie Veiligheid en Justitie (VenJ). Hierdoor was het op voorhand onmogelijk om de rechtmatigheid van deze bevragingen te controleren, waardoor de conclusie moet zijn dat die bevragingen onrechtmatig zijn. Ook de CIOT-auditing binnen de korpsen zelf is een zooitje. ‘Een kleine minderheid van de korpsen heeft dit proces beschreven. Van de uitgevoerde controles vindt bovendien geen vastlegging plaats’. Dus: al zeggen de politieorganisaties zelf compliant te zijn, het is niet aantoonbaar en derhalve moet geconstateerd worden dat ze niet compliant zijn.

De Inspectie VenJ trekt echter een opvallend milde conclusie. ‘Het ontbreken van de vereiste documenten wil niet zeggen dat er sprake is van een onrechtmatige bevraging’, concluderen de onderzoekers. Uiteraard wordt precies deze zin door Opstelten overgenomen in zijn brief aan de Kamer. Die conclusie is volstrekt onjuist: het ontbreken van de mogelijkheid om rechtmatigheid te toetsen is in tegenstrijd met de bestaande wetgeving. De conclusie had dan ook moeten zijn dat de politiediensten onrechtmatig handelen. De Inspectie spreekt zich ook tegen met die conclusie, want elders in het rapport constateert het dat alleen al de vermelding van het misdrijf ‘een vereiste van rechtmatigheid’ is. En dit gegeven ontbreekt bij 20 procent van de onderzochte bevragingen.

Medio 2010 bleek dat dat opsporingsambtenaren regelmatig hun CIOT-inloggegevens uitwisselen, waardoor mensen die niet bevoegd zijn toch de gegevens uit de database onder ogen krijgen. Het CPB deed onderzoek en constateerde stelselmatig misbruik. Uit ander onderzoek bleek dat de database leunt op wankele IT en slechte beveiliging. Opstelten sprak strenge woorden en beloofde in maart 2011 binnen twee maanden de situatie te verbeteren. De Inspectie constateert nu: ‘Vastgesteld wordt dat deze constateringen medio 2012 nog niet hebben geleid tot een adequate landelijke aanpak door de politiekorpsen en het ministerie van VenJ’.

De Inspectie doet een aantal aanbevelingen die minister Opstelten overneemt. In 2013 komt het deze keer echt goed met de naleving van de CIOT-regels door de politie, belooft Opstelten de Tweede Kamer. Of we hier nu wel op kunnen vertrouwen is echter nog maar zeer de vraag.