Brussel: bewaar minder data

Net nu Nederland de EU-bewaarplicht moeizaam invult, bedenkt Brussel zich.

Den Haag wil juist meer opslaan in de strijd tegen terrorisme en criminaliteit.

Het was half vier ’s nachts toen een 18-jarige jongen in Rijsbergen een jaar geleden door de politie van zijn bed werd gelicht. Een dag eerder had hij gedreigd, op een Amerikaanse website, „wat mensen dood te gaan schieten” op een school in Breda. „Een geintje’’, zei hij tegen de agenten. Maar slecht getimed, want kort daarvoor waren bij een schietpartij op een school in het Duitse Winnenden zestien slachtoffers gevallen.

De jongen had zijn naam niet genoemd, maar toch wist de politie hem snel te vinden. Dat lukte door in te loggen op het CIOT, het Centraal Informatiepunt Onderzoek Telecommunicatie. Hier sturen de ruim honderd aanbieders van telecomdiensten in Nederland dagelijks hun actuele klantgegevens naar toe.

Het ministerie van Justitie is blij met dit systeem en overweegt om op soortgelijke wijze meer data centraal op te slaan en eenvoudiger toegankelijk te maken voor opsporing. De gegevens worden deels al door telecombedrijven bewaard als gevolg van EU-wetgeving die in september vorig jaar in Nederland van kracht werd.

Maar net nu Nederland volop bezig is aan de praktische uitvoering van de wet, wat verre van vlekkeloos verloopt (zie inzet), laat de nieuwe eurocommissaris voor Justitie en Mensenrechten, de Luxemburgse Viviane Reding, een heel ander geluid horen. Ze wil niet méér, maar minder privacygevoelige informatie opslaan.

„We moeten selectief zijn”, zegt ze via de telefoon. „We moeten niet de privacy van alle burgers op het spel zetten, als we maar enkele burgers zouden moeten analyseren.”

Waar gaat het om? In 2005 werden EU-landen het erover eens dat er in de strijd tegen terreur en criminaliteit een bewaarplicht moest komen voor telecom- en internetdata (zie illustratie). De informatie moest tussen de zes en achttien maanden worden bewaard. Nederland koos voor een jaar.

Onder de gegevens die volgens de EU-richtlijn moeten worden bewaard, vallen de zogeheten verkeers- en locatiegegevens. Daaruit blijkt wie met wie mailt of belt, vanaf welke locatie, en of en waarheen iemand zich tijdens een gesprek verplaatst. De inhoud van telefoongesprekken of e-mails valt niet onder deze bewaarplicht. De historische klantgegevens moeten weer wel worden opgeslagen. Daarmee kunnen mensen worden opgespoord die een bepaald telefoonnummer of e-mailadres gebruikten en inmiddels een ander hebben.

Het Duitse Constitutionele Hof bepaalde anderhalve week geleden dat de wijze waarop de EU-bewaarplicht in Duitse wetgeving is vertaald strijdig is met de grondwet. Volgens de rechters worden de verzamelde gegevens in Duitsland onvoldoende beveiligd, is het gebruik ervan niet beperkt genoeg en is opslag van alle gegevens in één databank niet toegestaan.

Eurocommissaris Reding sluit niet uit dat zij in september, als de Europese bewaarplicht wordt geëvalueerd, samen met eurocommissaris Cecilia Malmström van Binnenlandse Zaken zal pleiten voor een herziening. „We moeten kijken of de bewaarplicht proportioneel en noodzakelijk is en of er geen middelen zijn die de privacy minder aantasten en die wellicht efficiënter zijn.”

In tegenstelling tot eurocommissaris Reding wil demissionair minister van Justitie Ernst Hirsch Ballin bij de herziening van de Europese richtlijn de werking van de wet juist uitbreiden. ‘Webbased’ e-mail zoals Hotmail valt nu bijvoorbeeld niet onder de EU-regels, wat het voor terroristen wel erg makkelijk maakt het toezicht te omzeilen.

Een woordvoerder van het ministerie van Justitie zegt dat Nederland de voorstellen van Reding afwacht. „We gaan ervan uit dat elementen van de uitspraak van het Duitse Hof in de plannen worden meegenomen”, aldus de woordvoerder.

Een afzwakking van de bewaarplicht zou ingaan tegen de wens van politie, opsporings- en veiligheidsdiensten. Zij raadpleegden het CIOT-systeem in 2009 bijna drie miljoen keer (zie illustratie). Bijvoorbeeld om te achterhalen welke identiteit er bij een verdacht telefoonnummer hoort, of om te zien wie zich in de buurt bevond op het moment dat ergens een misdrijf werd gepleegd.

Opsporingsambtenaren kunnen de historische klantgegevens en verkeers- en locatiegegevens momenteel met een verzoek per fax bij de telecomaanbieders opvragen. Ook hier zoekt de overheid naar een snellere manier van bevraging. Bij het ministerie van Justitie loopt het Project Dataretentie, waarin wordt onderzocht of ook historische klantgegevens via het CIOT toegankelijk te maken zijn.

Bij sommige telecomaanbieders en privacybeschermers stuit dit op bezwaren. Gert Wabeke, manager ‘justitieel aftappen en monitoren’ bij telecomprovider KPN, zegt: „Als je dit centraal doet, wordt het CIOT een interessanter doelwit voor hackers. De data van KPN staan daarom allemaal nog bij KPN, ook de actuele klantgegevens. Wij willen die fysieke doos niet buiten de deur hebben staan.” KPN is het enige bedrijf dat de gegevens niet bij het CIOT stalt.

Axel Arnbak van digitale burgerrechtenorganisatie Bits of Freedom wijst op het gevaar van fouten door politie en justitie. „Het resultaat van veel telecomgegevens van iedere Nederlander in het CIOT is duidelijk: gretige opsporingsdiensten en schendingen van de privacy. Bovendien is al vaak genoeg aangetoond dat het aannemen van een valse identiteit in een ICT-omgeving eenvoudig is.”

In zekere zin is de zaak van de jongen uit Rijsbergen die een school in Breda bedreigde daar een voorbeeld van. Via de Amerikaanse FBI vroeg de politie het unieke ip-adres op van de internetverbinding van waaruit de bedreiging was geuit. Op het huisadres dat het CIOT leverde, deed een arrestatieteam een inval, maar de jongen had de bedreiging geuit via het onbeveiligde internetnetwerk van zijn buren. Het arrestatieteam moest enkele huizen verderop zijn.