Ruime opslag telecomdata ter discussie

Net nu Nederland de Europese afspraken over het bewaren van telecomgegevens met moeite invult, overweegt de Europese Commissie die bewaarplicht af te zwakken. Nederland zou die juist willen uitbreiden.

Het was half vier ’s nachts toen een 18-jarige jongen in Rijsbergen door de politie van zijn bed werd gelicht. De dag daarvoor had hij gedreigd, op een Amerikaanse website, „wat mensen dood te gaan schieten” op een school in Breda. „Een geintje’’, zei hij tegen de agenten. Maar slecht getimed, want kort daarvoor waren bij een schietpartij op een school in het Duitse Winnenden 16 slachtoffers gevallen.

De jongen had zijn naam niet genoemd, maar toch wist de politie hem snel te vinden. Dat kon door in te loggen op het CIOT, het Centraal Informatiepunt Onderzoek Telecommunicatie. Hier sturen de ruim 100 aanbieders van telecomdiensten in Nederland iedere dag hun actuele klantgegevens naar toe.

Het ministerie van Justitie is blij met dit systeem en overweegt om op een soortgelijke manier meer informatie centraal op te slaan en eenvoudiger toegankelijk te maken voor opsporing. De gegevens worden al door telecombedrijven bewaard als gevolg van Europese wetgeving die in september vorig jaar in Nederland van kracht werd.

Maar net nu Nederland volop bezig is aan de praktische uitvoering van de wet, wat verre van vlekkeloos verloopt (zie inzet), laat de nieuwe eurocommissaris voor Justitie en Mensenrechten, de Luxemburgse Viviane Reding, een heel ander geluid horen. Ze wil niet meer, maar minder opslag.

„We moeten selectief zijn”, zegt ze via de telefoon. „We moeten niet de privacy van alle burgers op het spel zetten, als we maar enkele burgers zouden moeten analyseren.”

Waar gaat het om? In 2005 werden de lidstaten het erover eens dat er in de strijd tegen terreur en gewone criminaliteit een bewaarplicht moest komen van telecom- en internetgegevens (voor welke gegevens precies, zie illustratie). De informatie moest tussen de zes en achttien maanden worden bewaard – die keuze was aan de lidstaten. Nederland koos voor een jaar.

Onder de gegevens die volgens de Europese richtlijn moeten worden opgeslagen, vallen onder andere de zogeheten verkeers- en locatiegegevens. Daaruit blijkt wie met wie mailt of belt, vanaf welke locatie, en of en waarheen iemand zich tijdens een gesprek verplaatst. De inhoud van telefoongesprekken of e-mails valt niet onder deze bewaarplicht. De historische klantgegevens moeten weer wel worden opgeslagen. Daarmee kunnen mensen worden geïdentificeerd die een bepaald telefoonnummer of e-mail adres gebruikten en inmiddels een ander hebben.

Het Duitse Constitutionele Hof heeft vorige week gezegd dat de manier waarop die Europese bewaarplicht in Duitse wetgeving is vertaald, in strijd is met de grondwet. Volgens de rechters worden de verzamelde gegevens in Duitsland onvoldoende beveiligd, is het gebruik ervan niet beperkt genoeg en is opslag van alle gegevens in één databank niet toegestaan. Volgens het arrest is de massale opslag een bijzonder zware ingreep, van een omvang die eerder in de Duitse rechtsstaat niet voorkwam.

Eurocommissaris Reding staat open voor dergelijke kritiek. „Ik was altijd al tegen de brede bewaarplicht. We zien steeds vaker dat gerechtshoven kritisch zijn over dit soort wetgeving. Ook in het Europees Parlement is er een beweging richting meer aandacht voor privacy.” Dat laatste is belangrijk, omdat het parlement hier in het Verdrag van Lissabon veel meer zeggenschap over heeft gekregen.

In september komt de Commissie met een studie naar de manier waarop lidstaten de Europese richtlijn hebben ingevoerd. Reding sluit niet uit dat zij dan, samen met eurocommissaris Cecilia Malmström (Binnenlandse Zaken) zal pleiten voor een herziening. „We moeten kijken of de bewaarplicht proportioneel en noodzakelijk is en of er geen middelen zijn die de privacy minder aantasten en die wellicht efficiënter zijn.”

In tegenstelling tot eurocommissaris Reding wil demissionair minister van Justitie Ernst Hirsch Ballin bij de herziening van de Europese richtlijn in het najaar de werking van de wet eventueel uitbreiden. ‘Webbased’ e-mail zoals Hotmail valt nu bijvoorbeeld niet onder de EU-regels, wat het voor terroristen wel erg makkelijk maakt om het toezicht te omzeilen.

Een woordvoerder van het ministerie van Justitie zegt dat Nederland de voorstellen van de eurocommissaris afwacht en nu nog niet wil reageren op haar uitspraken. „We gaan ervan uit dat elementen van de uitspraak van het Duitse Hof in de plannen worden meegenomen”, aldus de woordvoerder.

Een afzwakking van de bewaarplicht zou ingaan tegen de wens van politie, opsporings- en veiligheidsdiensten. Zij raadpleegden het CIOT-systeem in 2009 bijna drie miljoen keer (zie grafiek). Bijvoorbeeld om te achterhalen welke identiteit er bij een verdacht telefoonnummer hoort, of om te zien wie zich in de buurt bevond op het moment dat ergens een misdrijf werd gepleegd. Het gaat hierbij soms om tienduizenden telefoonnummers tegelijk die via het CIOT worden onderzocht.

Afgelopen dinsdag stond bijvoorbeeld de teller van het aantal aanvragen van telefoonnummers, adressen en andere informatie in het CIOT-systeem rond het middaguur al op ruim 2200. Dat bleek tijdens een demonstratie op het ministerie van Justitie. Meestal worden tussen de tien en honderd telefoonnummers tegelijk onderzocht. Het gaat dan bijvoorbeeld om een verdachte wiens telefoon wordt afgetapt. Via het CIOT kunnen opsporingsambtenaren de telefoonnummers invoeren van de personen met wie de verdachte heeft gebeld. Na enige seconden komen hun namen en adressen tevoorschijn.

Opsporingsambtenaren kunnen de historische klantgegevens en verkeers- en locatiegegevens momenteel met een verzoek per fax bij de telecomaanbieders opvragen. De overheid zoekt naar een snellere manier van opvragen dan via de fax. Bij het ministerie van Justitie loopt het Project Dataretentie, waarin wordt onderzocht of ook de historische klantgegevens via het CIOT toegankelijk te maken zijn.

Bij sommige telecomaanbieders en privacybeschermers stuit dit op bezwaren.

Gert Wabeke, manager ‘justitieel aftappen en monitoren’ bij telecomprovider KPN, zegt: „Als je dit centraal doet, wordt het CIOT een interessanter doelwit voor hackers. De data van KPN staan daarom allemaal nog bij KPN, ook de actuele klantgegevens. Wij willen die fysieke doos niet buiten de deur hebben staan.” KPN is het enige bedrijf dat de gegevens niet bij het CIOT stalt. Vooral kleinere telecomaanbieders zijn soms voor opslag bij het CIOT, omdat hen dat kosten kan besparen.

Axel Arnbak van digitale burgerrechtenorganisatie Bits of Freedom wijst op het gevaar van fouten door politie en justitie.

„Het resultaat van veel telecomgegevens van iedere Nederlander in het CIOT is duidelijk: gretige opsporingsdiensten en schendingen van de privacy. Duitsland is op precies dit punt al teruggefloten door de rechter. Bovendien is al vaak genoeg aangetoond dat het aannemen van een valse identiteit in een ict-omgeving eenvoudig is. Er moeten in dit soort onderzoeken dan ook niet te snel sluitende conclusies worden getrokken.”

In zekere zin is de zaak van de jongen uit Rijsbergen die een school in Breda bedreigde daarvan een goed voorbeeld. Via de Amerikaanse FBI vroeg de politie het unieke ip-adres op van de internetverbinding van waaruit de bedreiging was geuit. Het internetadres leverde in de CIOT-databank een huisadres op. Een arrestatieteam ontdekte al snel dat het op het verkeerde adres was. De jongen had de bedreiging geuit via het onbeveiligde internetnetwerk van zijn buren. Het arrestatieteam moest enkele huizen verderop zijn.