Gevolgen van de wet bewaarplicht telecommunicatiegegevens

Als onderdeel van de nieuwe Telecommunicatiewet is ook de Wet bewaarplicht telecommunicatiegegevens van kracht geworden. De wet is een uitvloeisel van de Europese Richtlijn Dataretentie. De wet vergroot de mogelijkheden van digitaal sporenonderzoek bij de bestrijding van terrorisme en andere criminaliteit. Voor telecomaanbieders en internetproviders kan de uitbreiding van de wet tot forse infrastructurele aanpassingen leiden.

Per 1 september 2009 is in Nederland de Wet bewaarplicht telecommunicatiegegevens van kracht geworden. Deze wet is opgenomen in de (nieuwe) Telecommunicatiewet en het Wetboek van strafvordering. Het Agentschap Telecom houdt toezicht op de naleving van de wet. Bij overtreding van de wet kunnen boetes tot maximaal € 450.000 worden opgelegd en kan tot strafvervolging worden overgegaan. De wet is een uitvloeisel van de Europese Richtlijn inzake de be waarplicht ten aanzien van telecomgegevens, ook wel de Richtlijn Dataretentie genoemd. Aanleiding voor de Richtlijn waren in 2004 de aanslagen in Madrid. Duidelijk werd dat voor onderzoek en vervolging, bij terrorisme en andere vormen van criminaliteit, snelle toegang tot telecommunicatiegegevens noodzakelijk is.

Gegevens van telecom- en internetproviders
Onder de vorige Telecommunicatiewet waren telecomaanbieders sinds 2004 al verplicht om naw-gegevens (naam, adres en woonplaats) van gebruikers aan te leveren aan de CIOT, het Centraal Informatiepunt Onderzoek Telecommunicatie. Elke 24 uur worden deze gegevens automatisch centraal opgeslagen. Via het CIOT worden de gegevens aan opsporingsdiensten ter beschikking gesteld. Daarnaast kunnen bij de telecomaanbieders verkeersgegevens opgevraagd worden. Ook kan de overheid gebruik maken van ‘taps’, het opnemen van telecommunicatie. Wetgeving ten aanzien van de taps wordt echter via andere wetgeving dan de Richtlijn Dataretentie geregeld. Per 2006 zijn ook de internetproviders verplicht om naw-gegevens van gebruikers aan de CIOT aan te leveren. Voor internetproviders is nu ook, net als voor de telecomproviders, per 1 september 2009 het bewaren en leveren van verkeersgegevens verplicht geworden.

Gegevens en bewaartermijn
Telecomaanbieders en internetproviders dienen gegevens te bewaren over de gebruiker, de bron, de bestemming, de datum, de locatie, het tijdstip, de duur van de communicatie en de (vermoedelijk)gebruikte apparatuur. De gegevens betreffen alle oproepen, de geslaagde en niet-geslaagde oproepen, de afgebroken oproepen, alle e-mails (inclusief spam), sms, mms, de internettoegang (xdsl, kabel en mobiel) en het gebruik van vaste, mobiele en IP/ VoIP-telefonie. Vooralsnog moeten telecomgegevens en internetgegevens twaalf maanden bewaard worden. Een wetswijziging, waarbij de be waartermijn van internetgegevens verkort wordt tot zes maanden, is in voorbereiding.

Kosten van security compliancy
Om de gevraagde gegevens te leveren moeten logfiles uit diverse applicaties, zoals CRM-applicaties, applicaties voor billing, switching, e- mail en VoIP, worden gehaald en vertaald naar een gewenst bruikbaar format. Het zal duidelijk zijn dat het extraheren van de gegevens uit de logfiles van de verschillende systemen in het algemeen een aanzienlijke inspanning zal vragen. De overheid vergoedt alleen de administratieve kosten en uitvoeringskosten van het op verzoek aanleveren van gegevens. De aanbieders draaien zelf op voor de aanzienlijke infrastructurele kosten. Diverse aanpassingen in techniek, processen en organisatie zijn nodig. Vooral voor kleinere aanbieders kan de impact aanzienlijk zijn. Voor grote aanbieders, die de processen en organisatie al grotendeels naar security- en compliancemaatstaven hebben ingericht, zijn de gevolgen aanzienlijk minder ingrijpend.

Richtlijnen voor beheer
Als gevolg van de Wet bewaarplicht telecommunicatiegegevens dienen telecomaanbieders en internetproviders dagelijks enkele gigabytes aan gegevens te verwerken en op te slaan. De bewaarde gegevens dienen van dezelfde kwaliteit te zijn als de gegevens in het netwerk. De aanbieders zijn zelf verantwoordelijk voor de opslag en de volledigheid van de gegevens. De gegevens zijn strikt vertrouwelijk. Er gelden dan ook strenge regels voor de beveiliging van de gegevens, voor de screening van het personeel dat toegang heeft tot de gegevens, voor het opstellen en uitvoeren van een beveiligingsplan en voor de vernietiging van de bewaarde gegevens.

De praktijk
Gebruikmaken van dataretentie is een belangrijke opsporingsmethode voor politie en justitie. Ingewikkelde datamining- of profilingtechnieken worden bij het gebruik van de gegevens niet toegepast. Het gebruik is eenvoudig en direct. Indien uit onderzoek naar voren komt dat een bepaald telefoonnummer, IP-nummer of bijvoorbeeld een e-mailadres als verdacht moet worden beschouwd, wordt in het bestand vervolgens gezocht naar bijvoorbeeld de corresponderende naw-gegevens en naar nummers waarmee het verdachte nummer contact heeft gehad op bepaalde dagen, tijdstippen etc.

Electronische mazen
In forensisch onderzoek worden digitale sporen in toenemende mate gebruikt, naast het traditionele sporenonderzoek. Digitaal onderzoek heeft bijvoorbeeld geleid tot de identificatie en arrestatie van de moordenaar van de Nijmeegse activist Louis Sévèke. De richtlijn kan echter op allerlei manieren nog worden ontweken. Zo bestaat er in niet-EU-landen veelal geen dataretentierichtlijn. Over het bellen via Skype kunnen slechts in beperkte mate relevante gegevens worden opgeslagen. Ook gaat de richtlijn niet in op nieuwe contactkanalen, zoals chat en sociale media. Deze elektronische ‘mazen’ hebben de aandacht van de EU en de di verse nationale overheden. Aanpassingen en verdere uitbreidingen van
de richtlijn zijn dan ook te verwachten.