Cijfers over het aftappen van telecommunicatie zijn er nauwelijks in Nederland. De laatste cijfers over telefoontaps dateren uit 1998. Ze werden in 2003 bekend na een jarenlange procedure door Bits of Freedom in het kader van de Wet Openbaarheid Bestuur (WOB). Uit een document van Justitie bleek dat in 1998 de tapkamers van de politie tienduizend telefoonnummers aftapten, waarvan zevenduizend mobiele en drieduizend vaste lijnen. Cijfers uit andere jaren werden niet bekendgemaakt. Sindsdien houdt Justitie vol dat er over telefoontaps geen cijfers bekend zijn, omdat die niet centraal zouden worden bijgehouden.
In 1998 speelde internet nauwelijks een rol in de opsporing, maar dat veranderde toen een paar jaar later alle internetproviders wettelijk verplicht waren om hun netwerk aftapbaar te maken voor justitie. Maar hoeveel er in Nederland gebruik wordt gemaakt van het opsporingsmiddel 'internettap' was onduidelijk. Cijfers ontbraken tot voor kort.
Maar het eerste schaap sprong plotseling over de dam. In een persbericht maakte de stichting NBIP, de Nationale Beheerorganisatie voor Internet Providers, bekend hoe vaak justitie de afgelopen vier jaar internetters heeft getapt bij de providers waarvoor zij de aftapapparatuur levert. De NBIP vertegenwoordigt nu 44 providers met samen naar schatting anderhalf miljoen klanten.
Van die klanten worden er in 2006 welgeteld 31 afgetapt, zo maakte de NBIP bekend op basis van een schatting. Vorig jaar waren dat er nog maar vijftien, maar toen waren bij de NBIP 27 providers met samen ongeveer 1 miljoen klanten aangesloten. Hieronder het hele cijferoverzicht dat de NBIP publiceerde:
2003 2004 2005 2006 *
Aantal deelnemende providers 10 15 27 44
Geschat aantal eindgebruikers** 750.000 800.000 1.000.000 1.500.000
Aantal getapte eindgebruikers 6 10 15 31
Aantal tapmaanden 18 23 40 66
Begroting NBIP €111.000 €167.000 €194.000 €293.000
Gemiddelde NBIP-bijdrage
per deelnemer €11.100 €11.133 € 7.185 € 6.659
per getapte eindgebruiker €18.500 €16.700 €12.933 € 9.452
per tapmaand € 6.167 € 7.261 € 4.850 € 4.439
Taptoeslag
per eindgebruiker per jaar € 0,15 € 0,21 € 0,19 € 0,20
Hieruit wordt duidelijk dat het aantal internettaps flink stijgt, maar dat ze in absolute getallen nog maar weinig voorkomen. In 2003 en 2004 toen de NBIP respectievelijk 15 en 10 providers met samen ruim 750 duizend klanten hielp waren het aantal afgetapte eindgebruikers slechts 10 (2004) en zes (2003).
Te extrapoleren?
De tapcijfers over 1,5 miljoen internetklanten van de NBIP-leden geven een indicatie over het tappen in Nederland. De grote vraag is of deze cijfers te extrapoleren zijn voor andere providers. Statistisch gezien wel. Maar er komen meer aspecten bij kijken, zoals vertegenwoordiging in steden van providers en de mate waarin providers criminele klanten trekken die hun privacy extra op prijs stellen.
Een afgetapte internetter wordt gemiddeld iets meer dan twee maanden achtereen afgeluisterd, zo blijkt ook uit de NBIP-cijfers. Het aantal aftapmaanden schat de NBIP op de 31 getapte internetters op 66 in 2006. Het jaar ervoor waren dat nog veertig maanden verspreid over vijftien afgetapte internetters.
Van de 44 NBIP-leden is nog een groep zogeheten aspirant-lid. Van Stam: "Dat houdt in dat ze wel aftapbaar zijn, maar dat dit nog niet is getest. Ze blijven aspirant-lid totdat de aftapkamer van Justitie zegt dat het technisch in orde is. Hoe lang dat duurt verschilt nogal. Dat hangt af van de beschikbaarheid van apparatuur. Dat kan soms een paar maanden duren."
Publiceren aftapcijfers gedoogd
De publicatie van de NBIP is uiterst opmerkelijk. "In een begeleidend verhaal bij ons financiële jaarverslag hadden we onlangs al deze cijfers gezet. We dachten: waarom deze ook niet helemaal publiek maken?", zegt Pim van Stam, die al vijf jaar voor de NBIP de taps regelt.
"Het aftappen is immers de bron van bestaan van de stichting. We hebben nu een modus gevonden om daarover cijfers bekend te maken zonder dat dit staatsgeheimen zou schenden. Als we de aftapverzoeken van de inlichtingendiensten hadden gespecificeerd zou dat misschien zo zijn, maar nu hebben we de cijfers niet opgesplitst. Niet per dienst die de tap doet, of per provider, of per maand."
Volgens Van Stam heeft de NBIP deze totaalcijfers zelf ook nog niet zo lang. "We hebben nu onze eigen rapportages ook verbeterd, zodat we deze cijfers zodanig beschikbaar hebben." Hij zegt altijd meer transparantie over het onderwerp aftappen voor ogen te hebben gehad. "Het zou mooi zijn als ook andere providers dit soort cijfers zouden publiceren. KPN zou dit bijvoorbeeld ook kunnen doen, omdat die meerdere providers heeft."
Wettelijke geheimhouding
Maar de belangrijkste vraag is: mocht Van Stam de gegevens openbaarmaken? In de Telecommunicatiewet staat immers dat internetproviders 'geheimhouding moeten betrachten'. Een geheimhoudingsplicht staat ook in de algemene maatregel van bestuur uit 2003, het 'Besluit beveiliging gegevens aftappen telecommunicatie'.
Woordvoerder Ivo Hommes van het ministerie van Justitie zegt tegen Netkwesties dat de actie van Van Stam door de beugel kan: "Als het zo algemeen geformuleerd is als de NBIP nu heeft gedaan, hebben wij hier geen bezwaar tegen. Zolang het maar niet herleidbaar is tot specifieke personen of is opgesplitst per opsporingsinstantie."
Hommes bevestigt dat dit betekent dat ook andere providers dergelijke aftapcijfers op dezelfde manier bekend mogen maken. Volgens Hommes zegt de keren dat er een machtiging is gegeven voor een internettap niets over het daadwerkelijke aantal afgetapts internetters. "Soms zijn er per persoon meerdere aftapmachtigingen."
Kamervragen over staatsgeheimen
In juni 2006 stelde PvdA-kamerlid Martijn van Dam nog Kamervragen aan toenmalig minister van justitie Piet Hein Donner en zijn collega van Binnenlandse Zaken Remkes over de geheimzinnigheid rond internettaps. Van Dam deed dat naar aanleiding van een uitspraak van Simon Hania, technisch directeur van Xs4all, tijdens een radio-interview op BNR.
Hania verklaarde niet te willen zeggen hoeveel internettaps er waren geplaatst bij Xs4all, omdat hij daarvoor vervolgd zou kunnen worden. "De reden is dat wij heel concrete signalen hebben gekregen dat als ik dat ga vertellen, ik beticht word van het schenden van een staatsgeheim en dat is het mij niet waard," aldus de technisch directeur destijds.
De antwoorden op de Kamervragen kwamen deze week. Daarin staat dat Xs4all-directeur Doke Pelleboer in 2004 een gesprek heeft gehad met een medewerker van het Openbaar Ministerie, die hem 'sterk ontraadde over te gaan tot publicatie'.
"Daarbij heeft hij aangegeven dat indien die situatie zich voor zou gaan doen, zeker door het OM bekeken zou gaan worden of een vervolging daarvan tot de mogelijkheden zou behoren en of zulks opportuun zou zijn." Volgens de ministers is er bij de aantallen taps alleen sprake van staatsgeheim als ' in het kader van de activiteiten van de AIVD'. "Omdat openbaarmaking zicht kan bieden op de operationele activiteiten van de AIVD, en daarmee het belang van de nationale veiligheid ernstig kan schaden."
KPN: parlementaire controle
Hania reageert tegenover Netkwesties verbaasd op de NBIP-publicatie, maar verwijst voor een uitgebreidere reactie door naar Gert Wabeke van KPN's security-afdeling. Wabeke, manager 'aftappen en monitoren', noemt de bekendmaking van de cijfers 'een interessante ontwikkeling'.
"KPN heeft eerder de Kamer gevraagd om meer transparantie en besturing op dit onderwerp." Hij kan nog niet zeggen of KPN de cijfers voor haar providers bekend wil maken. "We gaan nadenken over hoe we hierop het beste kunnen reageren. Maar het is interessant dat deze cijfers nu op straat komen."
Volgens Wabeke is 'het lastige' van de actie van de NBIP wel dat er nu niet goed vergeleken kan worden met de situatie bij andere providers. "Het belang van transparantie is echter in mijn beeld niet een vergelijking tussen oplossingen. Die neiging zou kunnen ontstaan door het individueel beschikbaar stellen van deelinformatie. Het belang moet meer zitten in de parlementaire controle op het effect van een maatregel."
Volgens Wabeke moet die politieke discussie vervolgens vooral gaan over de kosten van de verplichte aftapbaarheid door het bedrijfsleven en de privacyeffecten ten opzichte van het nut dat het opsporingsmiddel 'internettap' heeft bij de bestrijding van criminaliteit.
Aftapleverancier verbaasd
"Het krampachtige in de huidige discussie, inclusief kamervragen over het al dan niet vermeend in gevaar brengen van de staatsveiligheid, is mijn inziens niet nodig. Ik zou er wel voor pleiten om publicatie en duiding van cijfers centraal te houden. Bijvoorbeeld via de Commissie Inlichtingen- en veiligheidsdiensten van de Tweede Kamer," aldus Wabeke. Ook andere grote providers zijn nog niet meteen van zins nu zelf cijfers over aftappen te openbaren. Woordvoerders van Orange (voorheen Wanadoo) en Essent (@Home) konden nog niet zeggen of ze dat na de publicatie van de NBIP op termijn wel zouden gaan doen.
Onder leveranciers van aftapsystemen zorgde de NBIP-publicatie ook voor open monden. Chefren Hagens van het bedrijf Innovative Design uit Delft, een van de leveranciers van aftapsystemen, is ook kritisch over de actie van Pim van Stam. "Ik vind het niet verstandig van de NBIP. Dit zit op de grens van de wet. Over dit onderwerp is juist zoveel mogelijk geheimhouding nodig," zegt Hagens.
Dat Justitie het openbaren gedoogt wil volgens Hagens niet zeggen dat de publicatie geen negatieve gevolgen zou kunnen hebben. Hagens: "Zelfs al mag het dan maakt hij [Pim van Stam van de NBIP, red.] er absoluut geen vrienden mee. Uit dit soort cijfers valt voor diverse partijen tal van dingen op te maken en dat is gewoon niet de bedoeling van de wetgever." IDD zegt zelf bewust geen informatie op te slaan omtrent taps. "Dan kan ik me ook niet verspreken."
Geen weet over effecten
Wat denkt Van Stam trouwens zelf dat de cijfers zeggen? Wordt de internettap weinig of vaak ingezet? "Het is niet aan mij om hieraan conclusies te trekken," zegt hij. "Het middel zelf is heel zwaar. Het levert grote hoeveelheden data op en dat is bewerkelijk voor justitie. Dus ze zullen dit middel niet zomaar gebruiken."
De NBIP kan het aftapen bij 44 providers nu af zonder medewerkers in fulltime-verband. Van Stam levert zijn diensten aan de stichting vanuit zijn bedrijf dat hij samen met een compagnon runt. "Pas als het aantal taps nog verder gaat groeien, heeft NBIP misschien medewerkers nodig, maar dat is nu nog niet aan de orde."
Dat het aantal aangesloten bedrijven bij de NBIP in één jaar tijd met zeventien steeg heeft volgens Van Stam te maken met het grote aantal providers dat volgens de wet aftapbaar zou moeten zijn. Die verplichting geldt bijvoorbeeld niet alleen aanbieders van internettoegang maar ook voor hosting.
Hosting achillespees
Veel van de hostingaanbieders worden niet vervolgd als ze niet aftapbaar zijn omdat ze nooit zijn gecontroleerd door het Agentschap Telecom, dat hiermee belast is. Volgens Van Stam werkt het agentschap wel een hele lijst met providers af.
Het ministerie van Economische Zaken, waaronder het Agentschap Telecom valt, was niet bereid tot commentaar over de controle van de aftapbaarheid van providers. Voor die inspectie is in de begroting van het Agentschap in 2006 367.000 euro beschikbaar.
Chefren Hagens zegt dat zijn bedrijf 'minder dan veertig providers' als klant heeft. Volgens hem zijn er nog honderden hostingproviders die niet voldoen aan de aftapplicht, maar die nog geen problemen hebben gekregen omdat Justitie nog nooit een internettap bij hen heeft willen zetten.
Stijgende kosten
De kosten van het aftappen blijken bij de NBIP fors te stijgen. De begroting van de NBIP steeg van 2005 op 2006 van bijna twee ton naar drie ton. Maar de kosten per getapte internetter dalen wel iets naar onder de tienduizend euro.
Gerekend over alle internetters van de NBIP-providers betaalt elke abonnee maar voor twintig eurocent per jaar mee aan de internettaps. "De apparatuur is inmiddels goedkoper geworden, maar dat wordt ruimschoots gecompenseerd door de noodzakelijke verzwaring van de apparatuur als gevolg van de grotere hoeveelheden data die verwerkt moeten worden." stelt de NBIP.
Kortom: de kosten van het tappen stijgen nu steeds meer Nederlanders een breedbandverbinding hebben en daarmee flink veel downloaden en zelfs bellen en tv kijken.
Bovendien maken providers ook zelf kosten bovenop hun bijdrage aan de NBIP. Medewerkers moeten immers tapverzoeken die per fax binnenkomen beoordelen op eventuele fouten of hun rechtsgeldigheid. Ook moeten medewerkers technische en organisatorische handelingen verrichten.
Voor dat alles geeft de Nederlandse overheid een vergoeding van 13 euro per tap. De echte kosten zijn een veelvoud daarvan, zegt Van Stam. "Stel, het kost ze vijfhonderd euro. Dan kan je alleen proberen dat geld terug te krijgen van de overheid als je een accountantsverklaring regelt, maar de kosten van de accountant krijg je als provider niet vergoed, dus heeft het geen zin. Providers zijn dan meer geld kwijt aan de accountants dan dat zo'n tap kost."
De NBIP stelt dat de kosten bij niet-NBIP-deelnemers waarschijnlijk hoger zijn, omdat daar de aftapapparatuur waarschijnlijk minder effectief wordt benut. Daar is Chefren Hagens van IDD het niet mee eens. Volgens hem is een individuele oplossing goedkoper.
CIOT en bewaarplicht
Binnenkort worden internetproviders geconfronteerd met nog meer kostenposten vanwege wettelijke verplichtingen. Allereerst moeten ze binnen een jaar hun database met klantgegevens dagelijks richting het Centraal Informatiepunt Opsporing Telecom (CIOT) laden. Daardoor hebben alle opsporingsambtenaren vanaf hun computer toegang tot de abonneegegevens van de providers, zoals naw-gegevens en email- en ip-adressen. Op dit moment zijn er al dertig telecomaanbieders aangesloten op het CIOT.
In de toelichting op de begroting van het ministerie van Justitie staat in september dat in 2006 het CIOT 1,5 opvragingen te verwerken krijgt van 43 opsporingsdiensten. Oftewel: jaarlijks zoeken politie en justitie anderhalf miljoen keer naar wie er achter een telefoonnummer schuilgaat of viceversa. Dat aantal zal volgens Justitie in 2007 gestegen zijn tot 1,8 miljoen. In 2005 was waren het er nog 1,2 miljoen.
Het toevoegen van de gegevens van internetproviders aan het CIOT liep dit jaar vertraging op, waarover Netkwesties vorige maand berichtte. De wettelijke deadline van 1 september 2006 werd niet gehaald. De internetproviders krijgen nu nog een jaar extra de tijd om hun klantenbestanden aan te sluiten op het CIOT, zo blijkt uit een ministerieel besluit dat op 21 september in het Staatsblad verscheen.
De technische specificaties over hoe providers hun databanken kunnen koppelen met het CIOT-systeem zijn ook vastgelegd, maar die beschrijvingen zijn volgens Van Stam wel staatsgeheim. De aanstaande wettelijke bewaarplicht moet voor 15 september 2007 in de Nederlandse wet komen te staan. De Europese richtlijn verplicht providers om alle communicatiegegevens van e-mails en bezochte sites één tot drie jaar te bewaren, zodat justitie ze achteraf kan opvragen.
Volgens Van Stam zijn met de bewaarplicht veel meer kosten gemoeid dan met de aansluiting van de providers op het CIOT. "Maar het is nog onduidelijk hoe de dataretentie technisch wordt geregeld. Nederland heeft al uitstel aangevraagd, dus dit kan nog lang gaan duren."
Volgens Gert Wabeke van KPN is de tijd die de providers voor het aansluiten op het CIOT krijgen krap. "Technisch inhoudelijk zal het wel mogelijk zijn om gegevens te koppelen, de essentiële vraag zal veeleer zijn of het CIOT erin slaagt om alle marktpartijen in deze kortere periode te koppelen..."