Vertraging met 'internettelefoonboek' voor opsporing
Sinds 1 september 2006 zijn alle internetproviders wettelijk verplicht dagelijks klantgegevens aan een justitiële databank te leveren. Maar de bouw van het benodigde systeem loopt vertraging op. Justitie en providers haalden de deadline niet van het 'supertelefoonboek van internet'.
Op 1 september liep volgens het Besluit verstrekken gegevens telecommunicatie het uitstel van twee jaar af dat internetproviders in 2004 kregen. Vanaf die datum zouden ze van al hun klanten NAW-gegevens, IP-nummers, e-mail-adressen en login-namen moeten leveren voor een nieuwe databank, te beheren door het Centraal Informatiepunt Opsporing Telecom (Ciot). De plicht vloeit voort uit de Telecomwet.
Elk etmaal moeten de providers de klantgegevens in de databank laden. Dat doen reeds jaren de - nu 25 - geregistreerde aanbieders van vaste en mobiele telecombedrijven. Politie en justitie maken flink gebruik van de gedeponeerde data. Uit cijfers van het ministerie van Justitie bleek vorig jaar dat de Ciot-databank 1,3 miljoen keer bevraagd is. Dat grote aantal is gemakkelijk te verklaren: opsporingsambtenaren bij 48 verschillende diensten mogen in het systeem zelf naw-gegevens opvragen. Gewoon vanaf hun bureau na het inloggen. Kennelijk is er veel behoefte aan een databank waarin ze snel kunnen checken wie er achter een bepaald nummer schuilgaat, of welk nummer er bij een naam en/of adres hoort.
"Het Ciot vraagt de gegevens via een beveiligd computersysteem op, zonder kostbare tussenkomst van de medewerkers van de telecomaanbieders. Het opvragen leidt hierdoor veel sneller en veiliger tot resultaat", schrijft het ministerie van Economische Zaken over het Ciot. Over deze instelling is verder weinig bekend. In geen enkel openbaar stuk is bijvoorbeeld te lezen hoeveel mensen er werken.
De grote behoefte van politie en justitie aan snelle gegevens geldt natuurlijk niet alleen voor telefonie. Internet speelt een steeds grotere rol in de opsporing en over internetters zijn juist minder gemakkelijk gegevens te vinden. Dat kan tot vertragingen in onderzoek leiden. Genoeg reden voor Justitie om internetproviders zover te krijgen hun klantgegevens aan het Ciot toe te voegen. Niet voor niets staat er in de Memorie van Toelichting bij het ministeriële besluit: "Voor de toekomst wordt, door het toenemende gebruik van het Internet, een verschuiving verwacht in de aantallen bevragingen, van de gegevens van gebruikers van telefonie naar de gegevens van gebruikers van internet."
Deadline niet gehaald
Maar op 1 september gebeurde er niets. Geen provider die op deze dag de gegevensstroom op gang bracht. Uit navraag bij het ministerie van Justitie blijkt dat de wettelijke deadline niet is gehaald. "Het klopt dat de deadline is verstreken," erkent de woordvoerder van Justitie. "We zijn nog bezig om met alle partijen afspraken te maken, want de standaard voor het uitwisselen van de gegevens is nog niet af."
Volgens hem praat Justitie 'binnenkort' weer verder met de providers. "We verwachten één dezer dagen een planning te kunnen maken voor de invoering", aldus Van der Weegen. Hij doet geen uitspraken over de snelheid waarmee het project wordt afgehandeld. "Daar heb ik niet zozeer een oordeel over. Het gaat misschien erg langzaam, maar belangrijker is dat het in goed overleg gebeurt."
Uit een aanpassing van de Algemene Maatregel van Bestuur over het Ciot werd al duidelijk dat Justitie de volgende gegevens wil zien van de providers:
de naam van de gebruiker
het adres met nummer en eventuele toevoegingen
de woonplaats met postcode
de soort dienst (de soort verbinding, ofwel: gaat het om een vast of dynamisch ip-adres?)
de gebruikersnaam of inlognaam;
de e-mail-adressen
de IP-adressen
Die laatste groep nummers is het lastigst. Hier zit het grootste verschil met telefonie. Veel internetters hebben namelijk continu wisselende IP-adressen. Bij een deel zijn ze vast, voornamelijk bij ADSL-aansluitingen, maar veel andere internetters krijgen elke keer als ze een internetverbinding opzetten een ander IP-adres toegewezen van de provider. Dat is een probleem, want de providers moeten één keer per etmaal de gegevens verversen. Dat een gebruiker op dat ene moment een bepaald IP-adres had, wil niet zeggen dat hij dat in de 24 uur er tussen dat nog steeds heeft. De Telecomwet rept hier niet over, waardoor gekozen is om de providers gewoon de IP-adressen op het moment van het verversen van de databank te laten leveren.
Goedkoper voor providers
Voor providers heeft aansluiting op het Ciot een voordeel: het bespaart kosten. Nu moeten medewerkers gegevens over klanten zelf opzoeken als Justitie daar om vraagt. Dat kunnen opsporingsambtenaren straks zelf. Volgens de Memorie van Toelichting bij het Ciot-besluit nemen de kosten voor de providers dan ook uiteindelijk af. "Als de samenstelling van de gegevens eenmaal geautomatiseerd kan verlopen, zijn de kosten van de dagelijkse vervanging van die gegevens in het bestand gering. (..) Dat bespaart menskracht voor het in behandeling nemen van de individuele verzoeken, die nu handmatig worden afgewikkeld."
In de eerste helft van 2005 begonnen ambtenaren van Justitie met de eerste gesprekken met onder meer UPC en Tiscali over de aansluiting op het Ciot. Dat wekte wrevel bij KPN, dat niet bij het overleg betrokken was. In zijn privacy-jaarverslag over 2005 schrijft Xs4all hierover: "Xs4all heeft geen zicht op de overeengekomen juridische en technische specificaties." De provider is kritisch over de privacy-aspecten: "Er is geen expliciete vrijwaring tegen onrechtmatig gebruik van de persoonsgegevens, of het nu om een typefout gaat of om een ontbrekende noodzaak. De telecombedrijven kunnen geen toezicht uitoefenen op het gebruik, maar dragen wel de maatschappelijke aansprakelijkheid voor de juistheid en noodzaak tot verstrekking gegevens.".
In de loop van 2006 kwam er vervolgens een werkgroep met meer vertegenwoordigers van grote providers. Medewerker Pim van Stam van de NBIP, een organisatie van kleine providers die gezamenlijk de aftapbaarheid van internetverbindingen, zag in mei al aankomen dat de deadline van 1 september niet zou worden gehaald. De providers zaten volgens hem nog met veel vraagtekens over de te leveren gegevens en de technische specificaties waarmee ze zouden moeten werken.
Wisselende IP-adressen
Inmiddels zijn die technische specificaties nog niet af. De providers zijn er niet rouwig om. "Iedereen heeft voorlopig van Justitie uitstel gekregen totdat alle afspraken gemaakt zijn," vertelt Simon Hania, technisch directeur van Xs4all. "Dit gaat nog maanden duren. Bijvoorbeeld moet nog goed worden vastgesteld welke gegevens er precies in de databank moeten. Neem zoiets als adresgegevens. Dat kan van alles zijn. De adresgegevens van het contract, het adres van de aansluiting of het factuuradres? Dat soort zaken moet nog worden afgesproken."
Daarnaast heeft Xs4all nog kritiek op andere punten. Zo kunnen wisselende e-mailaliassen en IP-adressen ertoe leiden dat wellicht de verkeerde personen verdachten worden. "Een dynamisch IP-adres kan zonder correcte tijdsbepaling op honderden klanten van toepassing zijn, zeker als er ook nog fouten worden gemaakt in de tijdzone," stelde Xs4all al in het privacyjaarverslag.
Volgens Simon Hania zullen boeven zich toch verschuilen met een e-mailadres in het buitenland of zelfs anoniem IP-adres. Hij denkt dat het nut van 'het Ciot voor internet' vooral ligt in gebruik voor lichtere overtredingen. Tegen terrorisme helpt het niet. "Justitie zal het Ciot waarschijnlijk raadplegen om te kijken wie er achter dreigmails en dergelijke zit. Maar wie iets echt zwaars van plan is, neemt wel een e-mailadres op een obscure server in het buitenland." Ook zijn er genoeg trucs om te surfen over niet te traceren IP-adressen, bijvoorbeeld door gebruik te maken van het programma Tor.
Ook verkeersgegevens in Ciot?
In februari 2006 werd de Europese richtlijn aangenomen die de bewaarplicht van verkeersgegevens van al het telefoon- en internetverkeer vaststelt op minimaal zes maanden en maximaal 24 maanden. Minister van Justitie Piet Hein Donner liet de Kamer al weten dat hij ervoor voelt om deze logbestanden van de providers eveneens onder te brengen in het Ciot. In tegenstelling tot de klantbestanden gaat het bij de logbestanden wel om een enorme hoeveelheid gegevens: alle bezochte websites en ontvangen en verstuurde e-mails van alle internetters. "Dit zijn al snel vele terabytes", zegt Hania.
Komen ook alle gegevens in het kader van de bewaarplicht direct in het Ciot dan kunnen politie en justitie centraal opzoeken wie wanneer met wie mailde of wie wanneer welke site bezocht. "Wij zijn daar tegen, omdat zoveel informatie op één plaats nog gevaarlijker is. Wie controleert er of alles wel klopt en wie er allemaal bij die enorme berg gegevens kan? Wie bewaakt de bewakers? We geven zo toch als burgers de macht volledig uit handen aan de overheid", aldus Hania.
De toch al lange discussie over de bewaarplicht is volgens Hania nog niet beëindigd. Eén grote overheidsdatabank met alle communicatiegegevens van telecom en internet is volgens hem vragen om moeilijkheden. Kan de Nederlandse dit wel beveiligen? "Ik bedoel niet alleen tegen hackers, maar belangrijk is ook wie er toegang tot deze enorme databank zou hebben. Als je ziet hoe gemakkelijk Defensie-medewerkers afgelopen jaar usb-sticks kwijtraakten. Wie regelt er wie er regulier toegang tot de informatie heeft? Dat probleem wordt in Nederland onderschat."
Een alternatief voor centrale opslag is het gebruik van een zogeheten Trusted Third Party (TTP). Een onafhankelijke stichting beheert dan de databank en niet een organisatie die direct onder het ministerie van Justitie valt, zoals het Ciot. Die mogelijkheid hield Donner ook nog open.
De discussie over de praktijk van de bewaarplicht zal het volgende kabinet moeten voeren. Als Justitie er net zoveel vaart achter zet als met de aansluiting van de providers op het Ciot, kan dat nog wel even gaan duren.
