De bruikbaarheid van de bewaarde gegevens

Of men gebruikmaakt van historische internetverkeersgegevens, is afhanke-lijk van de aard van het delict. Wanneer een delict iets met internet te maken heeft, worden internetverkeersgegevens opgevraagd. Dit lijkt logisch, maar verkeersgegevens betreffende telefonie worden in een heel uiteenlopend scala aan delicten ingezet en niet enkel wanneer een delict iets met telefonie te maken heeft. Dit terwijl een groot deel van de huidige communicatiestro-men tegenwoordig via het internet verlopen. Volgens verschillende experts

komt dit doordat van de internetgegevens die bewaard dienen te worden slechts een klein deel bruikbaar is voor de opsporing. Het merendeel van de gegevens betreffende internet, zoals beschreven in de bijlage behorende bij artikel 13.2a Tw, is volgens de experts verouderd. De regeling past niet meer bij het huidige internetgebruik en bij de technische ontwikkelingen die zich in dit opzicht hebben voorgedaan sinds de invoering van de wet in 2009. Een voorbeeld hiervan is het bewaren van log-in- en log-off-gegevens van inter-net- en e-mailsessies. Dit was relevant in de tijd dat men nog zelf actief een modem aanzette om contact te maken met het internet. Maar inmiddels zijn de meeste mensen 24 uur per dag, 7 dagen in de week verbonden met het internet via bijvoorbeeld wifi-netwerken en is er alleen sprake van een log-in of log-off wanneer het apparaat wordt uitgeschakeld. Met het veranderende aanbod van internetdiensten en als gevolg daarvan het veranderende inter-netgedrag van mensen heeft de bewaarplicht voor internetgegevens een beperkte waarde gekregen voor de opsporing.

‘De dataretentie richtlijn is van het begin van dit decennium en ziet eigen-lijk heel erg toe op de situatie van de periode daaraan voorafgaand, dus gaat over inbellen en pop-mail, korte mailophaalsessies. Toen was e-mail ook heel belangrijk. Dus de gegevens die nu bewaard worden, zo’n tien jaar later, gaan eigenlijk over de situatie van eind jaren 90, begin 2000, en welke gegevens er toen waren en wat we toen dachten dat belangrijk zou zijn voor de opsporing.’ – politie

‘De lijn van de bewaarplicht was natuurlijk dat we aanbieders verplichten om verkeersgegevens van communicatie te bewaren. En omdat niemand toen kon bedenken dat we met z’n allen gingen social media-en….daar dacht niemand nog aan. Mail was net in. En er werd gewoon nog heel veel gebeld.’ – politie

‘Sms is onder jongelui op sterven na dood. Bellen, als je de cijfers van OPTA zneemt ook af. Het is niet voor niks dat Hi stickers uitbrengt met “Wie belt er nou nog?” Dat doen ze natuurlijk om internetabonnementen te promo-ten. Je ziet mensen eigenlijk alleen nog maar whatsappen, pingen en op Facebook zitten. Mail van KPN, dat gebruikt men nog amper. Je communi-catiedienstverlening is verschoven naar aanbieders die zich op internet bevinden. Het is allemaal web-gebaseerd.’ – NFI

Nederlandse aanbieders van internetdiensten, zoals omschreven in de Tele-communicatiewet, dienen zich te houden aan de bewaarplicht zodat voor opsporingsdiensten verkeersgegevens beschikbaar zijn die behulpzaam zijn bij de opsporing. Maar wanneer een persoon gebruikmaakt van de veelge-bruikte buitenlandse serviceaanbieders, zoals Gmail, Hotmail, Facebook, enzovoort, zijn er geen verkeersgegevens voorhanden omdat deze bedrijven

niet onder de Nederlandse bewaarplicht vallen. In het huidige internetland-schap hebben deze aanbieders een prominente rol gekregen waarin voor de Nederlandse aanbieders slechts een bescheiden plaats is overgebleven. Opvallend genoeg zijn er buitenlandse dienstenaanbieders die zich actief en nadrukkelijk op de Nederlandse gebruikersmarkt richten en daar grote com-merciële belangen bij hebben. Maar door zich achter het buitenlandse moe-derbedrijf te verschuilen, ontlopen ze de bewaarplicht. Een probleem dat zich ook voordoet bij de aftapplicht. De Nederlandse bewaarplicht heeft grenzen, terwijl het internet die niet heeft.

‘Google Nederland bv dat bestaat gewoon, maar die zeggen: “Nee, wij heb-ben dat [verkeersgegevens] niet, dan moet je naar de VS.” Dat is natuurlijk een beetje vreemd.’ – politie

‘(...) omdat die technische ontwikkelingen zo snel gaan, is de wet gewoon onvoldoende flexibel om daarmee om te gaan en missen we dus een groot deel van de informatie. […] Wat ik eigenlijk wil zeggen is: hoofdstuk 13 moet worden aangepast en daarna moet het begrip aanbieder worden aan-gepast.’ – politie

‘(...) het is tegenwoordig allemaal webgebaseerd. Ik snap niet waarom de politiek, en dan hebben we het voornamelijk over Brussel, dat gewoon laat lopen. Daar, bij de online aanbieders in het buitenland, wordt, geld ver-diend: advertenties, marketing, gegevens van gebruikers die boven water worden gehaald, maar op het moment dat wij maar een fractie van die gegevens willen gebruiken voor opsporing, dan begeven ze zich ineens ach-ter de Amerikaanse grens en beroepen ze zich op een amendement uit de Amerikaanse grondwet.’ – NFI

De technische ontwikkelingen en diensten op internet staan ook nu niet stil. Wat op dit moment bruikbaar is voor de opsporing, kan over enige tijd, bij-voorbeeld na het invoeren van IPv6-adressen of andere technische wijzingen en vernieuwingen, helemaal anders zijn. Daarnaast kunnen technische ont-wikkelingen en vernieuwde toepassingen ook zorgen voor onduidelijkheid of tegenstrijdige regelgeving.

‘Prepaid gegevens worden een jaar bewaard. Dat is een speciaal stukje wet-geving107 dat er al was voor de dataretentiewetgeving. (…) Nu is discussie over prepaid wat betreft een kaartje voor je laptop. Dat is internet en dat wordt [volgens de Wet bewaarplicht] een halfjaar bewaard. Is internet pre-paid dan een halfjaar of is internet prepre-paid dan een jaar bewaren? De memorie van toelichting van beide wetten spreken elkaar tegen. We hebben

107 Artikel 13.4 lid 3 Tw. Hierin wordt beschreven dat zowel prepaid verkeers- als locatiegegevens voor een periode van een jaar bewaard dienen te worden. Dit geldt zowel voor telefonie als voor internetgegevens.

gezegd dat alles een jaar bewaard moet worden. Het is prepaid. Als wet-geving tegenstrijdig is, moet je als toezichthouder duidelijkheid geven.’ – AT ‘De toekomst vereist dat de regelgeving omtrent de bewaarplicht die ook flexibel genoeg is om aan te passen aan nieuwe ontwikkelingen.’ – OvJ ‘IPv6 dat straks geïntroduceerd wordt, dat heeft nog heel veel andere eigen-schappen. Dat werkt iets anders dan IPv4. Ik denk dat deskundigen nog eens een keer goed moeten kijken [naar de bewaarplicht] van hoe zou je dat bewaard willen hebben. Wat wel en wat niet.’ – NFI

Een ander probleem voor de opsporing waar experts de onderzoekers op wij-zen, is het groeiend tekort aan IP-adressen. De IP-adressen die nu gebruikt worden, zijn doorgaans IPv4-adressen. Al jaren is bekend dat deze IP-adres-sen opraken en er gezocht moet worden naar een alternatief. Dit werd gevon-den in IPv6-adressen. Naast een aantal andere voordelen is het IPv6-adres langer en zijn er daardoor veel meer adressen mogelijk.

Langzaamaan worden steeds meer netwerkapparaten geschikt gemaakt voor IPv6, maar het is niet aannemelijk dat een volledige overstap binnen afzien-bare tijd mogelijk is. Omdat diensten op het internet die alleen IPv4 onder-steunen vereisen dat de gebruiker ook een IPv4-adres heeft, is het voor de gebruiker onwenselijk dat hij alleen een IPv6- adres zou kunnen gebruiken. Nu IPv4-adressen schaars worden, zal een aanbieder geneigd zijn zuinig met IP-adressen om te gaan. Dat kan door meerdere klanten gebundeld (via Net-work Address Translation) een IP-adres te laten delen of door IP-adressen slechts voor heel korte tijd aan de gebruiker toe te kennen.

Wanneer een internetaanbieder een groep abonnees gebruik laat maken van een enkel extern IP-adres, is het niet meer mogelijk om aan de hand van dat IP-adres te achterhalen waar vandaan bepaalde informatie is verzonden. Een CIOT-bevraging zal in zo’n geval meerdere hits opleveren. Maar wanneer aanbieders problemen hebben met het koppelen tussen de gebruiker en adressen, dan zal een CIOT-bevraging geen hit opleveren. Ook als een IP-adres in combinatie met een tijdstip niet langer uniek is voor een specifieke abonnee, kan alleen vergaande vastlegging van gegevens en bevragingen van deze gegevens een indicatie geven welke abonnee verantwoordelijk is voor een bepaald bericht. Internetaanbieders zijn echter niet verplicht om logs bij te houden van de computers waarmee de abonnee op enig moment contact legde. Daarbij is de omvang van het internetverkeer te groot voor zulke nauwkeurige vastlegging van gegevens. Ook zijn aanbieders niet verplicht om andere unieke verbindende kenmerken van het internetverkeer vast te leg-gen, zoals aan het IP-adres gerelateerde poortadressen. De verwachting is daarom dat enkel een IP-adres de opsporingsdiensten steeds vaker naar een (grote) groep abonnees leidt, waaruit de opsporingsdiensten de juiste gebrui-ker dienen te identificeren.