Bewaarplicht verkeersgegevens onduidelijk en ongewenst · 20 augustus 2004

Er is volop commotie over het plan van de Europese ministers van Justitie die voortaan bij willen houden met wie de burger belt en e-mailt, en welke websites hij bezoekt. Telecombedrijven leveren echter al langer verkeersgegevens aan de politie. Wat is er nieuw?

Eind april dienden het Verenigd Koninkrijk, Ierland, Frankrijk en Zweden bij de Europese Raad van ministers van Justitie een voorstel in dat voorziet in een bewaarplicht voor telecom-verkeersgegevens ‘ten behoeve van preventie, opsporing en vervolging van strafbare feiten en terrorisme’. Het Nederlands kabinet omarmt het voorstel en wil het nog dit jaar, tijdens het Nederlandse EU-voorzitterschap, in behandeling nemen. Het voorstel is niet nieuw, het staat al sinds 2002 op de Europese agenda en de opsporingsdiensten dromen er al veel langer van. Burgerrechtenorganisaties lopen er al even lang tegen te hoop, maar de burger zelf kon er tot nu toe niet wakker van liggen. Nu de plannen in een stroomversnelling komen ontstaat er volop discussie.

Wat behelst het voorstel van de Justitie-ministers nu precies? Dat valt in ieder geval niet eenduidige uit de offici?´le stukken op te maken. Zeker niet als het gaat om de internetverkeersgegevens. In de telefonie echter is alles tamelijk overzichtelijk. Wat verkeersgegevens zijn laat zich redelijk eenvoudig defini?´ren, wie belt hoelang waar vandaan, wanneer met wie. De telecombedrijven houden deze informatie ook al bij omdat die bijvoorbeeld noodzakelijk is voor de facturering. Politie en Justitie maken ook al met grote regelmaat gebruik van deze gegevens.

Volgens Roelof Jan Bokhorst, onderzoeker bij het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC) van het ministerie van Justitie, worden de verkeersgegevens veelvuldig gebruikt. Bokhorst deed onderzoek naar opsporingsmethoden bij de recherche. “Verkeersgegevens spelen misschien niet zo‚Äôn grote rol bij de bewijsvoering in de rechtszaal, maar wel in de fase van de opsporing. Met de historische gegevens die het telecombedrijf levert kan de recherche al snel het sociale netwerk van een relatief onbekende verdachte in kaart brengen. In de rechtszaal zal dat meestal niet aan de orde komen, maar bij de opsporing en in de verhoorkamer kan daar goed gebruik van worden gemaakt. Een verdachte die in eerste instantie ontkent contact met iemand te onderhouden, kun je confronteren met zijn verkeersgegevens.”

Volgens het EU-voorstel moeten de telco’s vanaf 2007 ook verkeersgegevens opslaan die ze niet nodig hebben voor hun bedrijfsvoering. Bovendien wordt de bewaartermijn vastgesteld tussen een en drie jaar. Uit een onderzoek dat Stratix Consulting deed in opdracht van WODC blijkt dat politie en opsporingsdiensten ook onbeantwoorde gesprekken en bijvoorbeeld het aantal tekens van SMS-berichten geregistreerd willen zien.

Toch is er voor de telecombedrijven weinig nieuws onder de zon, het gaat vooral om ‘meer’ en ‘langer’. ETIS, dat de belangen verenigt van telecombedrijven als KPN, Versatel, Deutsche Telecom en TeliaSonera, protesteerde in scherpe bewoordingen tegen de voorgestelde bewaarplicht bij Eurocommissaris Liikanen. Het protest behelst echter vooral de forse investeringen die de opslag en het doorzoekbaar maken van de data met zich meebrengen. Het gedurende een jaar opslaan van gegevens die nu zes maanden bewaard worden kost pakweg een KPN Mobile of een Vodafone een kleine terabyte schijfruimte extra. Plus nog eens 750 gigabyte voor de niet beantwoorde gesprekken.

De kosten zijn afhankelijk van de eisen die gesteld worden aan de zoekopdrachten, meent Stratix-onderzoeker Paul Brand. “Alles hangt af van de zoekopdracht en de termijn waarbinnen de gevraagde gegevens moeten worden geleverd. Nu hebben de telecombedrijven de mogelijkheid om hun verkeersgegevens op cd of dvd op te slaan. Als echter een uitgebreide zoekopdracht, bijvoorbeeld vanaf welke nummers werd er de afgelopen zes maanden naar nummer xyz gebeld, a la minute moet worden uitgevoerd moet er een forse database ge?Ønstalleerd worden.”

Is de politie bij de telecombedrijven ‘kind aan huis’, bij de internetproviders kloppen ze minder vaak aan de deur, zo blijkt uit het Stratix-onderzoek. Bovendien weigerden sommige ISP’s verkeersgegevens vrijwillig te overhandigen. De gegevens zijn vaak ook minder eenvoudig te leveren omdat ze over de servers van verschillende partijen in ‘de keten’ opgeslagen zijn.
Het EU-voorstel heeft moeite met een heldere omschrijving van de gegevens van het internetverkeer.

Dat zit voor een deel al besloten in het wezen van internet, meent Brand. “Het voorstel is duidelijk toegesneden op klassieke telefonie waarbij de intelligentie in het netwerk zit en de verkeersgegevens zich duidelijk onderscheiden van de inhoud van het gesprek. Bij internetverkeer is dat aanmerkelijk ingewikkelder. Internet-diensten bestaan uit verschillende lagen. Wat voor de ene laag de inhoud is, kan voor een andere laag de enveloppe zijn. Op netwerkniveau zit de header van een e-mailbericht verpakt in het pakketje, terwijl die voor de aanbieder van de e-maildienst op SMTP-niveau de enveloppe vormt.”

De tekst van het voorstel expliceert niet wie nu welke gegevens moet opslaan. Brand interpreteert het voorstel in zijn meest beperkte vorm. “Ik lees het zo dat de gegevens die bij de aanbieder van een dienst worden gegenereerd door die aanbieder moeten worden opgeslagen. De provider zou in dat geval dus niet verplicht worden om in de datastroom, de pakketjes te kijken, te sniffen.”

Volgens het Stratix-rapport houden de ondervraagde ISP’s nu ook al bij wie wanneer inlogt en onder welk IP-adres, bijvoorbeeld omdat er sprake is van een datalimiet. De speurders zouden volgens het rapport graag zien dat de provider ook de websites die de klant bezoekt en bijvoorbeeld de routering registreert. Dat doen de providers over het algemeen niet. Woordvoerders van de NLIP en bijvoorbeeld Xs4all betoogden recent in Automatisering Gids dat dit vrijwel onmogelijk is omdat er dan wel degelijk in de datapakketjes ‘gesnifd’ moet worden. Bovendien zou voor het continue monitoren van de datastroom en het opslaan en doorzoekbaar maken van de data een enorme investering in apparatuur nodig zijn.

Het EU-voorstel is niet duidelijk over wat er op dat punt van de acces-provider verlangd wordt. Brand moet toegeven dat zijn ‚Äòbeperkte‚Äô interpretatie van het EU-voorstel gaten vertoont. “De protocollen worden wel in het voorstel genoemd maar er wordt niet bij vermeld welke partij de gegevens moet bijhouden. Het is vanuit opsporingsoogpunt inderdaad niet aannemelijk dat bijvoorbeeld websitebezoek alleen door de hosting provider gelogd zou moeten worden. Als de opsporingsambtenaar dan wil weten welke sites een verdachte heeft bezocht zou hij de gegevens moeten opvragen van alle hostingproviders. Dat is natuurlijk onmogelijk.”

Brand ziet nog meer problemen: “De intelligentie van communicatietoepassingen via internet zit niet in het netwerk maar aan de rand van het netwerk: de pc‚Äôs van de gebruikers en de servers van allerlei dienstverleners. Daardoor is de controle op de verkeersgegevens voor de access provider veel moeilijker te realiseren. Verkeer kan onherkenbaar gemaakt worden door het via andere poorten te sturen en te versleutelen. Als je zekerheid zou willen hebben dat je alles kan herkennen zou je de providers moeten verplichten om alle niet identificeerbare datastromen te blokkeren, maar dat zou wel een erg sterke rem zetten op de innovatie van internet diensten.”

Als het gaat om het internetverkeer willen de Justitie-ministers niets aan het toeval, of de toekomst, overlaten. In de tekst wordt er expliciet op gewezen dat de verplichting geldt voor de verkeersgegevens gegenereerd door protocollen en diensten op alle lagen van internet, van http tot VoIP, en van NAT tot FTP, en zelfs alle ‘toekomstige technologische ontwikkelingen die de transmissie van communicatie faciliteren’.

Volgens Anton Ekker, onderzoeker bij het Instituut voor Informatierecht van de Universiteit van Amsterdam, past het voorstel in de tijdgeest. “Sinds 9-11 is er een wereldwijde tendens om privacy structureel in te leveren voor veiligheid. In Nederland geeft de nieuwe wet op de inlichtingendiensten de AIVD en de MID vrijwel onbeperkte speelruimte. Het ‚ÄòWetboek van Strafvordering‚Äô regelt verdergaande bevoegdheden voor het opvragen van informatie door alle opsporingsambtenaren en de ‚ÄòWet vorderen gegevens telecommunicatie‚Äô geeft handen en voeten aan deze bewaarplicht. Een fundamentele verandering is dat nu niet langer alleen een verdachte onderwerp is van onderzoek, maar dat de gegevens van alle 450 miljoen Europeanen worden vastgelegd.”
Ekker vindt het voorstel niet proportioneel. “Machtsuitoefening door de overheid moet altijd proportioneel zijn. Dat wil zeggen dat grondrechten slechts mogen worden beperkt mits de overheid aantoont dat er een redelijk belang is dat in verhouding staat tot het schenden van het grondrecht. Als de overheid dit voorstel niet verder onderbouwd dan ze tot nu toe gedaan heeft, is daar in dit geval geen sprake van.”

Voorstanders van de bewaarplicht die zeggen dat ze ‚Äòniets te verbergen hebben‚Äô, hebben het mis, meent Ekker. “Het opslaan en opvraagbaar maken van alle communicatieve handelingen maakt gedrag controleerbaar. Het gaat niet alleen over privacy. Het gaat ook over de uitingsvrijheid, waaronder ook het recht op het ontvangen van informatie. Het gaat over het recht om vertrouwelijk te communiceren. Hoe kun je dat uitoefenen als alles geregistreerd wordt? Het politieke grondrecht om anoniem je mening te kunnen uiten. Er moeten grenzen gesteld worden aan de mogelijkheden van de overheid om mee te kijken. Anders zullen steeds meer mensen ontdekken dat ze wel degelijk iets te verbergen hebben.”

Gepubliceerd in Automatisering Gids, week 33 2004

, , ,


* * *