Roel Een vrolijk weblog

Bewaarplicht is bullshit

Vandaag was de opiniepagina van mijn krant (NRC Next) het toneel een discussie over de bewaarplicht tussen Tweede-Kamerleden Azough en Coruz . De bewaarplicht? Ja, de bewaarplicht:

• In het kader van de bewaarplicht zullen gegevens gaan worden bijgehouden over wat jij op of via internet en met je (mobiele) telefoon doet;
• Hierbij gaat het niet om de inhoud, maar om wanneer jij welke website bekijkt, waar en hoe laat je die vriend/collega hebt gebeld een e-mail hebt gestuurd;
• De bewaarplicht is geregeld in de Europese Richtlijn Dataretentie, waarin als bewaartermijn 6 tot 24 maanden wordt gesuggereerd. De Erasmus Universiteit adviseerde in 2005 een periode van 12 maanden. Nederland gaat nu 18 maanden lang alle data over het internetverkeer bijhouden.

Voorstanders beweren dat de informatie nodig is om terrorisme te bestrijden. Tegenstanders zitten in hun maag met het spanningsveld tussen veiligheid (ook belangrijk!) en privacy. In NRC Next herhaalt Naïma Azough een belangrijk argument tegen de bewaarplicht, dat ook door internetprovider XS4All (fel tegen de bewaarplicht) is genoemd:

Er is geen enkel onderzoek uitgevoerd in Europa dat de noodzaak en effectiviteit aantoont voor het aanleggen van een dergelijke grootschalige database, gevuld met zeer gevoelige persoonlijke gegevens.

Daarbij moet ik aantekenen dat er in Nederland wel twee onderzoeken zijn uitgevoerd naar de noodzaak van het gebruik van dit soort gegevens. Daaruit is gebleken dat met de beschikbare data eigenlijk alle justitiële onderzoeken succesvol kunnen worden afgerond.

Laten we er echter eens van uitgaan dat de bewaarplicht is ingevoerd:

De bewaarplicht in actie

Terabytes aan data over ons telefoniegedrag en internetverkeer zijn opgeslagen. Wat zal justitie daarmee gaan doen? Zware misdrijven beter onderzoeken, want dat is het doel van de bewaarplicht. Maar justitie kan allang gegevens opvragen bij telefonie- en internetproviders met een gerechtelijk bevel. Daarmee kan een rechercheur toegang krijgen tot de inhoud van een mailbox of MSN conversaties laten vastleggen. De vraag is en blijft echter of voor dit type onderzoeken 18 maanden aan data nodig zijn.

Ondertussen blijft informatie over ons telefoon- en internetgedrag opgeslagen worden. Is het dan zo onwaarschijnlijk dat justitie op een gegeven moment patronen in ons internetgedrag zal proberen te gaan ontdekken (data mining), om op basis daarvan potentiële terroristen te identificeren? Dat zou ik zelf ook willen doen als ik bij justitie werkte en niet al teveel expertise bezat op dit vlak. En zodra dat gebeurt is het afwachten tot de eerste onschuldige wordt opgepakt, omdat hij of zij in één weekwebpagina’s over zowel Iran, atoomenergie als het NK Bommetje heeft bezocht. Tel uit je winst.

Andere problemen met de bewaarplicht

Op zijn weblog identificeert Peter Fleischer, de Global Privacy Council van Google, de 4 zwakke punten van de Dataretentie-richtlijn:

1. De bewaarplicht is bedoeld om onderzoek naar zware misdrijven mogelijk te maken. Wat we moeten zien als een zware misdrijf wordt echter niet gedefiniëerd. Daarmee worden ook de mogelijkheden van justitie niet beperkt. Foutje, bedankt.
2. Het is onduidelijk welke overheidsdiensten gebruik mogen maken van verzamelde data. Dit dient gedefinieerd te worden. of wil ej dat de gemeente je belverkeer kan opvragen?
3. Onderzoeken zouden geen gebruik mogen maken van data mining. Maar wie controleert dit? En belangrijker, heeft de controlerende instantie kennis van zaken?
4. Toegang tot de verzamelde informatie zou alleen per zaak beschikbaar moeten worden gemaakt. En daarvoor zou een geïnteresseerde overheidsdienst toestemming moeten vragen. Vrije toegang tot de bewaarplicht-database zou misbruik in de hand kunnen werken. En op deze manier is duidelijk wie over welke data beschikt.

Allemaal goede punten. En als ze niet beantwoord worden voor de invoering van de bewaarplicht zijn er genoeg mogelijkheden om deze te ontduiken. Zoals Fleischer aangeeft:

Very simple technical measures allow anyone to use the Internet without leaving the tracks that the Directive would try to retain. In fact, it might be as easy as using non-European-based service providers.

CDA-senator Franken zei al: “Nederland wordt er niet veiliger op als we de postbodes verplichten om bij te houden wie welke brief ontvangt”.

Voor een man met een hamer lijkt elk probleem op een spijker.

Het klinkt als een oud Chinees gezegde. Toevallig Lao tse? (Update: Nee, Abraham Maslow.)

Dat ‘hameren’ is ook wel logisch natuurlijk, maar als ik dat vertaal naar de bewaarplicht kun je alleen maar concluderen dat beleidsmakers gewoon geen (heldere) visie hebben. Misschien verwacht ik teveel, maar ik vind dat ze horen na te denken over de lange-termijneffecten van hun beslissingen. Misschien komt dat ooit nog…

“wanneer jij welke website bekijkt” hoort volgens de Richtlijn niet tot de te bewaren gegevens!

Hans, bedankt voor je reactie, maar wat valt er dan niet en wel onder?

In de richtlijn wordt gesteld (overweging 13):

“Deze richtlijn heeft alleen betrekking op gegevens die gegenereerd of verwerkt worden naar aanleiding van een communicatie of een communicatiedienst, en niet op gegevens die de inhoud van de gecommuniceerde informatie vormen.”

Er wordt onderscheid gemaakt tussen locatiegegevens (duidelijk) en verkeersgegevens (wat een begrip is dat veel breder kan worden opgevat).
Artikel 5, lid 2 van de Richtlijn stelt wel dat “Gegevens waaruit de inhoud van de communicatie kan worden opgemaakt, mogen krachtens deze richtlijn niet worden bewaard”, maar het IP-adres van een server waarop een website draait is geen inhoudelijke communicatie. Dus kan wel degelijk worden bijgehouden met welke server jij contact maakt. (En ja, ik begrijp heel goed dat servers meestal meerdere websites hosten, maar dan nog.)

Hallo Roel,

Zie artikel 5 uit de Richtlijn (wat te lang om hier aan te halen), het gaat bij internet qua bron en bestemming niet om webtoegang maar ’slechts’ om e-mail en internettelefonie.

En webmail? Valt dat dan onder categorie ‘e-mail’ of ‘webpagina’?

Technisch gezien vind er vanaf de gebruiker en Hotmail/Gmail geen communicatie plaats via POP/IMAP/SMTP. Dus zouden webmail-providers inloggegevens moeten gaan bewaren. En dan is de stap ook niet meer zover dat overheden van zoekmachines dit soort gegevens gaan opvragen.

Roel,

Er zijn nog wel meer punten waar de Richtlijn niet al te duidelijk over is, zullen we maar zeggen. Het past wel bij de gedachte achter de Richtlijn om webmail als e-mail te beschouwen.

Tsja, dan ga je toch in de richting van het monitoren van webmail. Op die manier begeef je je op een hellend vlak, want welke ‘belangrijke’ webservices moeten dan nog meer gemonitored worden? Die vraag zal steeds actueler worden met de groeiende populariteit van web-gebaseerde diensten als Google Docs & Spreadsheets e.d.

Als jurist (ben ik niet, maar even theoretiserend) zou ik beargumenteren dat het doel van de Richtlijn is om communicatiegegevens beschikbaar te maken voor opsporingsdiensten, met het doel om zware misdrijf te bestrijden. Webmail zou daaronder kunnen vallen, maar zeker ook documenten en foto’s die via het web gedeeld worden. Is het einde van het verhaal dan niet dat elke Europese webhosting provider en web service provider logs moeten gaan bijhouden?

Elk antwoord dat wij bedenken werpt eigenlijk alleen maar nieuwe vragen op. De jurisprudentie die hierover ontstaat zal antwoorden moeten gaan geven, vermoed ik.

Wie bewaart wat, als een bedrijf zijn (IMAP)mailserver bij een provider heeft staan?
Ik werk zelf bij een klein bedrijf, maar zelfs bij dit bedrijf worden voor een vergadering de te lezen stukken met een alles-in-een printer gescand en scrambled gemaild. Nee, vertrouwelijke stukken gaan niet in newsgroups en scrambled data is altijd verdacht.