Naar inhoud springen

CIOT

Uit Wikipedia, de vrije encyclopedie

Het Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) is een overheidsorganisatie binnen het Ministerie van Justitie en Veiligheid. Aanbieders van openbare telecommunicatienetwerken (zoals providers van internet en telefonie) zijn wettelijk verplicht om elke 24 uur een actueel databestand aan te leveren aan het CIOT met daarin o.a. NAW-gegevens behorende bij telefoonnummers, IP-adressen en e-mailadressen. Het CIOT maakt deze bestanden doorzoekbaar voor (Bijzondere) Opsporings-, Inlichtingen- en Veiligheidsdiensten, zoals onder andere de politie, de FIOD, het Openbaar Ministerie, de AIVD en de MIVD. Het doorzoeken gebeurt automatisch, waardoor de diensten 24 uur per dag toegang hebben tot de gegevens. Er is geen menselijke tussenkomst vanuit het CIOT.

Volgens de wet mag de database uitsluitend bevraagd worden in verband met een onderzoek, zoals een politieonderzoek. Hieronder valt ook het raadplegen van gegevens in verband met hulpverlening in noodsituaties, bijvoorbeeld als iemand die onwel wordt het alarmnummer 112 belt, maar niet meer kan vertellen wie hij is of waar hij woont[1]. Uit de jaarverslagen van 2017 t/m 2020 van CIOT blijkt dat de database jaarlijks 2,0–2,4 miljoen keer werd geraadpleegd door alle instanties tezamen.[2][3][4][5] De jaarverslagen geven een specificatie van het aantal informatieverzoeken per instantie en, los daarvan, de rechtsgrondslag van deze opvragingen. Het is niet inzichtelijk voor providers hoe vaak hun eigen klantenbestand bevraagd wordt binnen het CIOT-systeem.[6] Minder dan één op duizend aanvragen komt van 112.

Wettelijke grondslag

[bewerken | brontekst bewerken]

Het CIOT is een onderdeel van het Ministerie van Justitie en Veiligheid en valt onder Justitiële Informatiedienst van het Directoraat-generaal Rechtspleging en Rechtshandhaving. Het is in 1999 opgericht.[7]

De wet is in januari 2000 gepubliceerd als het Besluit verstrekking gegevens telecommunicatie.[8] Artikel 4 lid 2 benoemt de gegevens die in de database terecht komen. De Minister van Justitie en Veiligheid is verantwoordelijk voor het CIOT. Jaarlijks stelt de minister een rapport op waarin het aantal bevragingen wordt vermeld. Ook wordt jaarlijks een rapport opgesteld over de audit naar de goede uitvoering van de wet, zowel door openbare telecommunicatienetwerken, het informatiepunt en de opsporingsinstanties die toegang hebben.

Opvragingen van informatie uit de CIOT-database gebeurt volgens de volgende rechtsgrondslagen[5]:

  • TW[9] 11.10: "hulpverlening in noodsituaties of de bestrijding van het misbruik van een alarmnummer" (lid 6) met maximum bewaartermijnen tot zes maanden afhankelijk van de situatie (lid 7).
  • Wvggz[10] 13:3a: vaststelling van de verblijfplaats van de betrokkene "die zich aan de uitvoering van de verplichte zorg heeft onttrokken" "[indien] het ernstige vermoeden bestaat dat [diegene] in levensgevaar verkeert of een misdrijf als bedoeld in artikel 67, eerste lid, van het Wetboek van Strafvordering, zal plegen met ernstig nadeel voor hemzelf of een ander tot gevolg", door de officier van justitie na machtiging door de rechter-commissaris.
  • WvS[11] 126n: een vordering door de officier van justitie in het belang van het onderzoek in geval van "verdenking van een misdrijf als omschreven in artikel 67, eerste lid" (bijvoorbeeld "een misdrijf waarop naar de wettelijke omschrijving een gevangenisstraf van vier jaren of meer is gesteld").
  • WvS 126na: een vordering door een opsporingsambtenaar zonder gespecificeerd doel in het geval van verdenking van een niet-gespecificeerd misdrijf.
  • WvS 126u: als onderdeel van het voor maximaal drie maanden stelselmatig volgen van een persoon of stelselmatig diens aanwezigheid of gedrag waarnemen, "[indien] uit feiten of omstandigheden een redelijk vermoeden voortvloeit dat in georganiseerd verband misdrijven als omschreven in artikel 67, eerste lid, worden beraamd of gepleegd die gezien hun aard of de samenhang met andere misdrijven die in dat georganiseerd verband worden beraamd of gepleegd een ernstige inbreuk op de rechtsorde opleveren". De vordering wordt gedaan door de officier van justitie.
  • WvS 126ua: vergelijkbaar met 126u, maar gedaan door een opsporingsambtenaar. Hierbij is geen maximumduur aangegeven.
  • WvS 126zh: een vordering door de officier van justitie in het belang van het onderzoek "[in] geval van aanwijzingen van een terroristisch misdrijf". De opgevraagde gegevens mogen maximaal een periode van drie maanden beslaan.
  • WvS 126zi: vergelijkbaar met 126zh, maar gedaan door een opsporingsambtenaar. Hierbij is geen maximumperiode aangegeven.
  • WvS 126ii: vergelijkbaar met 126zh, maar ter voorbereiding van dat onderzoek. Hierbij is geen maximumperiode aangegeven.

De grondslag uit de wet verplichte geestelijke gezondheidszorg werd in 2020 voor het eerst en éénmaal gebruikt; in het daarop volgende jaarverslag[12] werd deze grondslag 19 keer gebruikt. Geen nieuwere gegevens zijn bekend per september 2022.

In 2018[3] waren artikelen 126n en 126na uit het Wetboek van Strafvordering de grondslag voor 99,7% van alle aanvragen. Een verdere 4891 aanvragen werden gedaan op basis van de overige grondslagen in het WvS.


Werking van het systeem

[bewerken | brontekst bewerken]

Zoals de wet stelt in artikel 6,[13] moet de "doorgeleiding van gevraagde gegevens [anoniem geschieden]." In de praktijk wordt dit geïmplementeerd doordat de data van verschillende providers op verschillende, beveiligde omgevingen staat. Bij het ontvangen van een zoekopdracht, wordt door een server van het CIOT de zoekopdracht geanonimiseerd en daarna verspreid naar alle omgevingen om te controleren of de gegevens daar aanwezig zijn. Het antwoord gaat terug naar de centrale server, die de bevraging verspreidde, die het terug stuurt naar de aanvrager.[14]

Waarom het niet de client van de aanvrager is die de bevraging anonimiseert maar een server van het CIOT, en welke anonimiseringsmethode precies wordt gebruikt, is niet bekend. Technisch gezien is het twijfelachtig of het werkelijk anoniem gemaakt wordt, of dat er in de werkelijkheid pseudonimisering toegepast wordt (bijvoorbeeld door een hashfunctie), aangezien werkelijke anonimisering het onmogelijk zou maken om de bijbehorende persoonsgegevens te vinden.

In 2018 bleek dat in 2016 er meerdere onregelmatigheden waren in de wijze waarop de politie met het CIOT omging. Zo werd de autorisatie voor de toegang tot het systeem pas achteraf gegeven aan de politie-ambtenaren die er gebruik van hadden gemaakt. Voorts waren er diverse onduidelijkheden in de toepasselijke regelgeving, onder meer over hoe lang de data bewaard mogen worden.[15]


Verstrekte gegevens

[bewerken | brontekst bewerken]

Welke gegevens in het (aan het CIOT) verstrekte bestand moeten staan, hangt af van het type organisatie. Sinds september 2004 wordt het volgende verstrekt:[16]

Door telecommunicatieaanbieders

[bewerken | brontekst bewerken]
  • Naam, adres, postcode, woonplaats
  • De telecommunicatiedienst die de gebruiker afneemt (vast, mobiel, abonnement, prepaid, etc.)
  • Telefoonnummer(s) van de gebruiker
  • Naam van de telecommunicatieaanbieder

Door internetaanbieders

[bewerken | brontekst bewerken]
  • Naam, adres, postcode, woonplaats
  • De internetdienst die de gebruiker afneemt (inbellen, kabel, ADSL, e-mail, account, etc.)
  • Identificatienummers van randapparaten van de gebruiker, IP-adressen, e-mailadres(sen) van de gebruiker, gebruikersnaam of inlognaam
  • Naam van de internetaanbieder