Bewaarplicht treft vooral sufferds

Nog even en de Nederlandse overheid heeft het recht te kijken wat haar burgers zoal in cyberspace uitvoeren. Een vorig jaar aangenomen Europese richtlijn, binnenkort geïmplementeerd in Nederlandse wetgeving verplicht telecombedrijven om gegevens van telefoon- en internetverkeer te bewaren voor het geval justitie erin geïnteresseerd is. Logisch dat er onrust ontstaat. De voornaamste slachtoffers zullen domme criminelen zijn en misschien een paar mensen die echt heel erge dingen gedaan hebben.

In China heeft de overheid volledige greep op de economie, dus is het niet zo’n kunst om precies bij te houden welke computer wat doet. Het probleem is dat de meeste mensen vanuit een internetcafé toegang hebben. Daarom probeert de Chinese overheid al enkele jaren manmoedig om mensen te dwingen tot identificatie voor ze achter het toetsenbord plaatsnemen. Er wordt zelfs over gedroomd iedereen van een internet-toegangskaart te voorzien om zijn cyberdoen en laten te kunnen volgen.

De Nederlandse overheid heeft precies het omgekeerde probleem. Iedereen heeft zo’n beetje zijn eigen computer, dus het is niet zo moeilijk vast te stellen wie achter een bepaald ip-adres zit. Alleen is de economie niet in overheidshanden, dus moeten derden gedwongen worden om vast te leggen wat die internetters zoal uitspoken.

Dat is het doel van de nieuwe wet. Ze stelt het aanbieders van internet- en telefoniediensten verplicht om onder meer de volgende gegevens van hun klanten anderhalf jaar te bewaren: gebelde telefoonnummers, bezochte websites, daarbij gebruikte apparatuur en de tijd/locatie van toegang. Dat zou geen inbreuk op de privacy zijn, want de al dan niet versleutelde inhoud van de communicatie blijft niet bewaard – een twijfelachtige bewering, want iemands surfpatroon kan natuurlijk veel zeggen over diens privéleven. Ook is het de vraag of gebruikte zoektermen in Google nou adresinformatie zijn of inhoud (Google geeft het door als adresinformatie).

Smak geld

De meeste routeringsinformatie waar het om gaat, verzamelen providers nu ook al. De telefoonmaatschappij houdt bijvoorbeeld bij hoe lang iemand vanaf welk nummer naar welk nummer belt om disputen over de rekening te kunnen beslechten. Mobiele providers houden bij via welke antenne het netwerk wordt benaderd. Kennis over bewegingspatronen van mobiele telefoons is handig bij het plannen van uitbreidingen of nieuwe diensten.

Voor internet ligt het iets anders. Niemand houdt aan gebruikerskant bij welke websites bezocht worden. Maar die websites zelf houden wel bij wie hen bezoekt, want dat is interessante informatie om bijvoorbeeld adverteerders te trekken. Justitie maakt van die informatie al gebruik, bijvoorbeeld om hackers of bezoekers van kinderpornosites te achterhalen. Het zou voor haar ook handig zijn om te zien welke andere sites een verdachte allemaal bezocht heeft. Die informatie gooien providers momenteel weg, omdat ze er geen commercieel belang bij hebben.

Bewaren van die laatste informatie betekent grosso modo dat alle routeringsinformatie twee keer opgeslagen wordt. Dat houdt twee keer zoveel benodigde opslagcapaciteit in, hetgeen een smak geld kost. Ook om die reden lopen internetproviders voorop in het protest tegen de nieuwe wet. Privacy blijft echter het voornaamste mikpunt, ook van juristen als de Nijmeegse hoogleraar Bart Jacobs en zijn Leidse collega Hans Franken, die tevens senator is voor het CDA. In de Tweede Kamer leidt de SP het verzet.

Jihad

Over de voor- en nadelen van al dat bewaren vallen lange juridische discussies te houden. Maar er is ook een praktische kant: wat valt er met die informatie allemaal te doen? Internet providers gebruiken hun routeringsinformatie nu voor hun eigen opsporingsactiviteiten. Zelfs bij internationaal gecoördineerde acties lukt het hen echter zelden om spammers en virusmakers op te sporen. Het opsporen van slimmeriken is uiterst tijdrovend en zal dus, ook als justitie ermee aan de slag gaat, beperkt blijven tot de gevaarlijkste verdachten. Succes niet gegarandeerd.

Slechts een beperkt aantal technisch onderlegde internetters bezit echter de expertise om zich zo te verschuilen. Van heel veel Nederlanders zal centraal bij providers het surfgedrag geregistreerd worden. Dat register is meer dan een plek waar de internetcontacten van een verdachte zijn na te slaan. Dat register is ook te doorzoeken op verdachte surfpatronen om zo nieuwe verdachten te vinden.

Dat laatste is werkelijk een nieuwe opsporingsinstrument, de mogelijkheid om per Nederlander het surfgedrag te analyseren. Het wordt bijvoorbeeld een fluitje van een cent om alle Nederlanders op te sporen die het afgelopen jaar naar bepaalde jihadistische sites gesurfd zijn. Aan de hand van hun overige surfgedrag valt te bepalen hoe verdacht dat gedrag is. Dit is nu onmogelijk, tenzij justitie de logs van die jihadistische site te pakken krijgt.

Hoewel dreigend terrorisme de drijvende kracht achter de nieuwe wet is, blijkt in de praktijk van telefoontaps dat het met name dommere criminelen en burgers zijn die tegen de lamp lopen. Er zijn al de nodige alibi’s gesneuveld doordat iemand vergeten was zijn mobiele telefoon uit te zetten. In principe zijn de locatiegegevens van gsm’s zelfs bruikbaar om snelheidsovertredingen te constateren. Het is niet vergezocht om te vermoeden dat het centrale surfregister vooral halve digibeten zal treffen – waar het gebruik door justitie betreft, want hackers zijn gegarandeerd ook geïnteresseerd in het register, om kwetsbare computers en gebruikers eruit te vissen.

Spam

Wie niet het slachtoffer wenst te worden van bewaarde gegevens, kan uiteraard afzien van telefoon en internet, maar er zijn ook allerlei manieren om anoniem te werk te gaan. Het is bijvoorbeeld mogelijk te bellen met een prepaid telefoonkaart, te surfen in een internetcafé of met de laptop op zoek te gaan naar een onbeveiligde wifi-verbinding (‘wardriven’). Niemand weet dan wie de verbinding legt.

Dat dachten bijvoorbeeld de daders van de aanslagen in Madrid van 11 maart 2004. Maar iedere prepaid kaart heeft een eigen nummer en de politie kon uit gespreksgegevens achterhalen welke nummers de kaarten hadden in de telefoons die de bommen deden afgaan. Via de telefoonmaatschappij viel te achterhalen bij welk verkooppunt de kaarten over de toonbank gingen. Uit kassagegevens was af te leiden wanneer ze verkocht waren en hoe betaald. Het net sloot zich. Verschillende landen hebben tegenwoordig een identificatieplicht voor kopers van prepaid kaarten. In Nederland bestaat een aparte bewaarplicht voor gegevens van prepaid bellers, zodat die makkelijker afgetapt kunnen worden.

Een internetcafé dan maar. Het lijkt een goed idee, maar alleen als er geen beveiligingscamera’s hangen, want anders valt alsnog te achterhalen wie op het gewraakte moment achter een bepaalde computer zat. Een beheerder met een goed geheugen voor gezichten is ook een risico. Wardriven is een beter idee, lijkt het, althans bij gebruikvan een gestolen of tweedehandse laptop, want de verbinding registreert vaak ook een hardwarenummer dat via de leverancier te traceren valt.

Al met al verplicht de nieuwe wet voor een belangrijk deel de bestaande, vrijwillige praktijk. Voornaamste uitzondering is de bewaarplicht voor surfgedrag, die nieuwe opsporingsmogelijkheden biedt. Het kwetsbaarst zijn sufferds, zoals helers die hun waar via marktplaats.nl aanbieden en stalkers die hun mobieltje niet uitzetten als ze de verboden buurt betreden. Geen methode is waterdicht, maar er zijn genoeg methoden om opspoorders zand in de ogen te strooien, zoals spammers weten. Voor de gewiekste jongens wordt de pakkans slechts marginaal vergroot.

Eerder verschenen in De Ingenieur 5, 2007.