De walsende dataverzamelaars

Heeft Nederland de afgelopen weken weer een aantal bouwstenen geleverd voor een infrastructuur die zich uitstekend leent voor een politiestaat?

NRC-Handelsblad meldt op 22 februari 2006, bijna terloops, dat het orgaan dat bij gaat houden met wie burgers hebben gebeld of e-mail uitgewisseld of welke websites hebben bezocht, op afstand van de overheid komt. Lezers van Netkwesties zijn waarschijnlijk wel op de hoogte dat opslag van verkeersgegevens er bijna onvermijdelijk aan komt. Maar was het bij u al volledig doorgedrongen dat dergelijke gegevens centraal zullen worden vastgelegd?

Hier bleef het niet bij. Twee dagen na het bericht in het NRC komt de Volkskrant al weer met een voorpagina-artikel dat achter de schermen al wordt gewerkt aan een volgende stap met potentieel grote gevolgen voor onze burgerrechten.

Wat is hier allemaal aan de hand en is er werkelijk reden tot zorg? In deze bijdrage richten we ons op een drietal zaken die stof tot nadenken bieden: 1. de rijksoverheid ontplooit een sterke drang tot opslag van steeds meer persoonsgegevens; 2. dit gebeurt steeds meer centraal; 3. en de wijze waarop besluitvorming rond deze tendensen verloopt verdient weinig schoonheidsprijzen.

Ad 1. groeiende datapakhuizen

De genoemde centrale dataopslag noemde een woordvoerder van het ministerie van justitie na de Europese Raad van 21 februari jl. In deze Raad is de 'Richtlijn over de bewaring van gegevens die zijn verwerkt in verband met het aanbieden van openbare elektronische-communicatiediensten en houdende wijziging van Richtlijn 2002/58/EG' goedgekeurd. Met de richtlijn denkt de Raad aan politie en justitie een belangrijke opsporingsmogelijkheid te geven in de strijd tegen terrorisme. De Richtlijn moet garanderen dat bepaalde gegevens bij onderzoek, opsporing en vervolging van ernstige misdrijven toegankelijk zijn voor de veiligheidsdiensten. Daarbij gaat het overigens alleen om communicatiegegevens en niet om de feitelijke inhoud van gesprekken, e-mail of chats zelf. Dat het onderscheid tussen communicatiegegevens en inhoud op z'n minst onduidelijk is laten we hier even rusten. Dat is elders uitgebreid besproken, bijvoorbeeld in het dossier verkeersgegevens van Bits of Freedom en door het Ivir. Het gaat ons hier om de betekenis van de opslag van welke gegevens dan ook die betrekking hebben op wat individuen online en met telefoons doen. Het gaat in de eerste plaats om alle gegevens nodig om de oorsprong en de ontvanger van de communicatie terug te vinden en te identificeren. Ook data die het mogelijk maken datum, tijdstip en duur van de communicatie vast te stellen, moeten bijgehouden worden. Tot slot gaat het om gegevens nodig om het type communicatie te bepalen en alle informatie die nodig is om mobiele communicatiemiddelen te lokaliseren. De gegevens worden gedurende een periode van zes maanden tot twee jaar bewaard. De lidstaten kunnen een afwijkende regeling invoeren op aanvraag. Zo kreeg Polen al toestemming om de gegevens voor 15 jaar te bewaren.

Dit gaat nogal ver. Hoe ver precies is onduidelijk nu er geen heldere omschrijving is van 'onderzoek, opsporing en vervolging van ernstige misdrijven'.

Tegen de richtlijn bestaat veel kritiek. Dit is niet de plaats om daar uitgebreid bij stil te staan, maar belangrijke punten laten we niet onvermeld. De maatregel lijkt op voorhand niet effectief aangezien een groot deel van de gegevens weinig bruikbaar is. Veel gegevens zijn afkomstig van anonieme en wisselende bronnen, bijvoorbeeld van niet geregistreerde pre-paid mobiele telefoonkaarten. Deze zijn op grote schaal in omloop en worden bovendien doorverkocht. Moderne vormen van telefonie, zoals Skype vormen al eveneens een probleem. En verder zeggen de IP-nummers, zeg maar het adres van een computer, die een belangrijke rol spelen als sleutel tot de gegevens, weinig omdat achter één enkel IP een compleet bedrijfsnetwerk of vele bezoekers van een internetcafé schuil kunnen gaan.

Ernstiger is de fundamentele omkering in het denken over strafbare en laakbare feiten. In plaats van selectief te rechercheren, wordt op luie wijze alles verzameld, dus ook de telecommunicatie van de 97 procent of meer 'onschuldige'Europeanen. Bovendien levert dit systeem potentieel op individueel niveau een feitelijke omkering van bewijslast op: wanneer het dataspoor naar jou leidt, ben jij degene die moet aantonen dat de data vervuild en onjuist zijn.

De dataretentierichtlijn betekent een serieuze inbreuk op de privacy van alle Europese burgers. Artikel 8 van het Europees Verdrag voor de Rechten van de Mens staat zulks niet in de weg, maar vereist wel een deugdelijke afweging van dergelijke inbreuken in het licht van proportionaliteit en subsidiariteit. Een fatsoenlijke afweging van de verschillende belangen is vooralsnog niet gemaakt. Dit wringt te meer daar het risico van afglijden van nobele doelen (terrorismebestrijding) richting minder nobele (monitoring en surveillance) niet ondenkbaar is. Het bestaan van een enorme databank met alle verkeersgegevens maakt wat de Duitsers zo mooi 'Rasterfahndung', en Engelsen 'hunting and fishing expeditions' noemen, wel erg aantrekkelijk. Oftewel het zonder concrete aanwijzingen zoeken naar patronen en ongeregeldheden in het materiaal: 'je weet maar nooit wat je vindt'.

En hoewel nu bepaald is dat het materiaal alleen beschikbaar is voor onderzoek, opsporing en vervolging van ernstige misdrijven, is dit de eerste stap richting 'function creep'. De eerste gegadigden buiten de strafrechtelijke opsporingskring hebben zich al gemeld: de muziekbranche ijvert reeds voor gebruiksrecht op het materiaal om piraterij te bestrijden, zo lezen we in een open brief van de Creative en Media Business Alliance (CMBA) aan alle leden van het Europese parlement.

Ad 2. Centralisatie van opslag

Telecom- en vooral internettoegangsaanbieders hikken aan tegen de hoge opslagkosten. Minister Donner wil aan dit bezwaar tegemoet komen door de opslag centraal in te richten, waarmee we bij het tweede thema aankomen: centralisatie van gegevensopslag. Centrale opslag van verkeersgegevens zou de kosten moeten verlagen. Dat zal best, maar het vergemakkelijkt ook het hierboven geschetste vissen in de datazee. Tevens ontstaan er grote problemen en risico's rond beveiliging. De minister denkt er verder over het beheer in handen van een stichting te geven. Dat moet betrouwbaarder ogen dan wanneer dit door de opsporingsinstanties zelf gebeurt. Misschien, maar hoe zit het met toezicht?

De datatretentierichtlijn staat niet op zichzelf als maatregel om data over burgers op te slaan. Vrijwel geruisloos werkt het ministerie van Buitenlandse Zaken aan de inrichting van een centrale databank met biometrische kenmerken vanuit de paspoortdata. Hierover publiceerde Netkwesties uitgebreid. De wetgeving is nog niet de Eerste Kamer aangenomen, maar de voorbereidingen voor de realisatie zijn in volle gang. Een dergelijke databank maakt identificatie en monitoring (aan de hand van de gelaatsscan) van alle Nederlandse burgers mogelijk. Wederom een duidelijke aantasting van de privacy waarvan nut en noodzaak niet duidelijk zijn aangetoond, maar die wel gebruiksmogelijkheden creëren die veel verder gaan dan het oorspronkelijke doel. In dit licht mag ook een derde initiatief dat burgers beter (her)kenbaar maakt voor de overheid niet ongenoemd blijven: het Burger Service Nummer. Reeds eerder is, bijvoorbeeld door Corien Prins in NjB en hier op Netwesties aandacht gevraagd voor de bezwaren en risico's van een dergelijk uniek identificerend nummer voor alle burgers.

Technisch is het niet nodig om identificerende nummers over domeinen heen te gebruiken om gegevens tussen sectoren uit te wisselen, de Belgen laten al jaren zien hoe dat kan. Het BSN is waardevol voor criminelen omdat het voor zo veel zaken en diensten kan worden gebruikt. En dat maakt het systeem juist kwetsbaar.

De drie beschreven initiatieven hebben gemeen dat ze een rijke schat aan gegevens over burgers creëren of (na koppeling met ander bestanden) beschikbaar maken, terwijl nut en noodzaak nauwelijks worden beargumenteerd. Alle drie openen ze de weg naar gebruik dat veel verder gaat dan de oorspronkelijke doelen. Het BSN zal ook worden gebruikt in de private sector ook al is dat niet altijd toegestaan, dat is een kwestie van tijd dat heeft de ervaring met het SoFi-nummer laten zien. En alle drie zijn ze, juist door het centrale en uniforme karakter bijzonder kwetsbaar: zowel voor intern als extern misbruik.

Ad 3. geen boodschap aan kritiek

Tenslotte het derde punt: de wijze van totstandkoming van deze maatregelen. Het parlement is op punten niet gelukkig met de beschreven maatregelen. Vele adviesorganen, waaronder de Raad van State, laten zich er negatief over uit, maar de wals rolt onverstoorbaar voort. De totstandkoming van de dataretentierichtlijn is een moeizame strijd gebleken tussen de nationale parlementen, de Raad, de Commissie en het Europese Parlement. De Raad heeft hierin onder het mom van noodzakelijk optreden tegen terrorisme standvastig een bepaald pad bewandeld en heeft uiteindelijk grotendeels zijn zin gekregen.

Minister Donner heeft in aanloop naar de Raad geweigerd een door een brede kamermeerderheid gesteunde motie van Boris Dittrich tegen instemming met de richtlijn naast zich neergelegd. DE Kamer vond dat eerst goed geregeld moest zijn wie toegang mag krijgen tot privé-gegevens van de burgers. "Ik kan geen motie uitvoeren die inhoudt dat, als ik namens Nederland 'ja' zeg, het de volgende vergadering 'nee' is", aldus Donner in de Tweede Kamer.

Het democratisch draagvlak voor de geschetste ontwikkelingen is niet bijster groot en maatschappelijk debat ontbreekt grotendeels. En dat terwijl het gaat om zaken die de burgerrechten potentieel diep zullen raken. Natuurlijk niet met het huidige kabinet, maar wat brengt ons de toekomst? En zijn deze maatregelen wanneer we werkelijk in het doemscenario terechtkomen wel terug te draaien? De wals rolt voort, maar waarheen?

[24 maart 2006]

*) Ronald Leenes is universitair hoofddocent recht en technologie bij TILT, Tilburg Institute for Law, Technology, and Society. Hij houdt zich daar onder meer bezig met privacy en identiteitsmanagement, biometrie en reguleringsvraagstukken rond nanotechnologie.

Paul de Hert is universitair hoofddocent bij TILT, Tilburg Institute for Law, Technology, and Society en hoogleraar aan het aan de Vrije universiteit Brussel. Hij specialiseert zich in privacy, biometrie en meer algemeen de invloed van technologie op grondrechten.

Netkwesties
Netkwesties is een webuitgave over internet, ict, media en samenleving met achtergrondartikelen, beschouwingen, columns en commentaren van een panel van deskundigen.
Colofon Nieuwsbrief RSS Feed Twitter

Nieuwsbrief ontvangen?

De Netkwesties nieuwsbrief bevat boeiende achtergrondartikelen, beschouwingen, columns en commentaren van een panel van deskundigen o.g.v. internet, ict, media en samenleving.

De nieuwsbrief is gratis. We gaan zorgvuldig met je gegevens om, we sturen nooit spam.

Abonneren Preview bekijken?

Netkwesties © 1999/2024. Alle rechten voorbehouden. Privacyverklaring

1
0