De strijd tegen de bewaarplicht is over, leve de strijd!

Eerst is er woensdag 28 september een rondetafel sessie met belanghebbenden. Een dag later volgt het formele debat in de Tweede Kamer over het Erasmus rapport.

De uitkomst lijkt van te voren vast te staan. CDA en VVD scharen zich vierkant achter een algemene bewaarplicht verkeersgegevens, of die nu via de Europese ministers van justitie komt of via de Europese Commissie. De kans dat D66 hiervoor een kabinetscrisis riskeert, lijkt niet erg groot. Daarmee lijkt een roemloos einde te komen aan het jarenlange gevecht tegen de bewaarplicht.

Politie en justitie hebben een sterk staaltje blufpoker gespeeld. Zonder enig bewijs dat justitieel onderzoek mislukt indien de noodzakelijke verkeersdata in kwestie niet meer voorhanden zijn, hebben ze begin deze maand effectief de christendemocratische en liberale traanklieren bespeeld. Met verhaaltjes over ondermeer de ontvoering van een klein kind en ontrafeling van het netwerk van de Hells Angels.

De Britse delegatie legde er in deze besloten indoctrinatie-sessie nog een schepje bovenop, met plaatjes van een verbrande vrouw. Ook het Europese Parlement is op deze presentatie getrakteerd en ook daar zijn de groepsleiders flink gaan schuiven.

Overmand door de begrijpelijke behoefte om een stevige juridische vuist te maken tegen al het misdadig gespuis, heeft niemand zich kennelijk gerealiseerd dat een ontvoering bij uitstek een misdrijf is waarbij de politie snel in actie komt. Niet pas na drie of zes maanden, de periode dat telefoonbedrijven in ieder geval nog over de gevraagde gegevens beschikken, maar binnen maximaal een week.

In het tweede geval lijkt een bewaarplicht ook al geen soelaas te bieden; bij een verdenking van ernstige criminaliteit in georganiseerd verband lijken middelen als aftappen, pseudo-koop en/of infiltratie veel meer voor de hand te liggen, zoals de voorzitter van het CBP al eerder betoogde in een opinie-stuk in NRC Handelsblad.

De bewaarplicht lijkt dus onvermijdelijk. Waarom? Daarom! Maar wat er precies bewaard moet worden, dat wordt later pas beslist. De Europese Commissie wil graag een bewaartermijn van een jaar voor alle telefoniegegevens, en een half jaar voor internetgegevens. Het Europese Parlement heeft daar de komende maanden ook nog wat over te zeggen, maar de leiders van de grote politieke groepen hebben al aan de Britse voorzitter van de EU laten weten dat ze het voor het einde van het jaar met elkaar eens kunnen worden.

De Commissie heeft dan ook een gapende achterdeur ingebouwd waar zelfs Groot-Brittanië doorheen past: de diplomatieke vertegenwoordigers van de lidstaten mogen voortdurend nieuwe soorten gegevens toevoegen aan de bewaarplicht en/of de bewaartermijnen herzien. Zonder verdere bemoeienis van parlementen, nationaal noch Europees.

Niet om pessimistisch te zijn, maar de vraag naar het wat lijkt dan ook snel plaats te maken voor 'wat niet?' Let wel, het gaat niet over de inhoud van communicatie, zingzeggen Commissie, ministers van justitie en politie-ambtenaren al anderhalf jaar lang in koor. De bewaarplicht ziet alleen op welke dingen je precies doet op internet, met wie, hoe laat en hoe lang. Welke website je bezoekt, of over welk onderwerp je mailt.

Want zoals uit de laatste versie bij Statewatch blijkt van het voorstel van de ministers van justitie vindt een meerderheid nog steeds dat de onderwerpregel van e-mail absoluut niet uitgezonderd mag worden van de bewaarplicht. Maar dat is teveel detail voor de meeste volksvertegenwoordigers. Belofte is belofte toch? Als een eminente jurist als Donner zegt dat de bewaarplicht het communicatiegeheim niet schendt en ook verder niet in strijd is met het Europees Verdrag van de Rechten van de Mens, dan geloof je dat.

Blijft alleen nog het 'hoe' over. Hoe gaan we al die verkeersgegevens ontsluiten? Via het CIOT, meent Donner, het Centraal Informatiepunt Opsporing Telecom. Dat is een ingewikkelde constructie, die er in de praktijk voor zorgt dat alle agenten (van de 44 opsporings- en geheime diensten die Nederland rijk is) via een simpele muisklik toegang hebben tot een uitgebreid telefoonboek met de namen en telefoonnummers van alle Nederlanders.

In de praktijk betekent het dat de telefoonaanbieders zelf extra servers hebben, waar ze elke 24 uur een volledige kopie zetten van hun klantenbestand. Die extra database bij elk bedrijf is via een vaste verbinding toegankelijk voor het informatiepunt. Justitie heeft recent aangekondigd dat de internetproviders hun klantenbestand volgend jaar op dezelfde manier moeten ontsluiten voor het CIOT, zodat politie en geheime diensten veel makkelijker kunnen zien wie bij welk IP-nummer en e-mail adres hoort.

Uit het overleg tussen een paar grote internetaanbieders en justitie bleek meteen dat internetgegevens veel minder betrouwbaar zijn dan telefoonnummers: een e-mail alias kan enkele uren daarvoor bij een andere klant hebben gehoord en voor een dynamisch IP-adres geldt dat dit zelfs binnen een enkele seconde aan een ander kan zijn toegewezen.

De reactie van Justitie op dit probleem was typisch: geen herbezinning op de bruikbaarheid van internetverkeersgegevens voor de opsporingspraktijk, maar introductie van een nieuwe bewaarplicht van drie maanden bij het CIOT zelf. Door daar, in een eigen database, drie maanden lang alle internetgegevens te bewaren, kunnen agenten in 1 oogopslag zien welke andere mensen van een e-mail of IP adres gebruik hebben gemaakt.

Nu vangt het Openbaar Ministerie nog bot met ongerichte vragen bij providers. Als er geen exacte datering bij zit, of tenminste drie tijdswaarnemingen bij een dynamisch IP-adres, kan de Officier van Justitie hoog of laag springen, maar krijgt hij geen tabel met een lange reeks mogelijke verdachten.

Los van die nieuwe, nogal heimelijk bekokstoofde bewaarplicht bij het CIOT voor de naam/nummer gegevens, stelt de minister voor om de bewaarplicht van alle internetverkeersgegevens ook via het CIOT te laten verlopen. Maar hoe moet dat dan? In de laatste brief van Donner aan de Tweede Kamer wordt het niet veel duidelijker. Het zou kosten besparen als de providers niet zelf elk een database hoeven aan te leggen, maar alle gegevens rechtstreeks naar het CIOT brengen.

OM en inlichtingendiensten kunnen dan zelf hun speurwerk doen. Daarmee haalt Justitie ongetwijfeld een belangrijke angel uit het verzet tegen de bewaarplicht, de enorme kosten die alle providers zouden moeten maken, maar maakt ze hopelijk ook een heleboel slapende honden wakker. Ik denk niet dat de meeste mensen bij de bewaarplicht meteen dachten aan een centraal politiepakhuis vol immens gevoelige gegevens over alle burgers. Zonder enige externe controle op het gebruik van die gegevens.

En in combinatie met het Kabinetsvoorstel om de inlichtingendiensten op korte termijn uitgebreide datamining bevoegdheden te geven, hoef je geen reusachtige gedachtensprong te maken om diep bezorgd te zijn. En om daarna alsnog de strijd aan te gaan.

De eerste veldslag om de bewaarplicht mag gestreden lijken, maar zonder pijnljke aanleiding geen opstand.