Wat de overheid allemaal weet over je internetgedrag
Deze week lees je op TechPulse een vierdelig dossier over cyberdefensie. We hadden het in deel 1 over de bescherming van kritieke infrastructuur van bedrijven en de overheid. In deel 2 bekeken we hoe die overheid censuur gebruikt om websites ontoegankelijk te maken. In dit hoofdstuk analyseren we de technieken die vadertje staat mag gebruiken om je surfgedrag op het net te volgen. Morgen onderzoeken we tot slot hoe oorlogsvoering in cyberspace er uit ziet.
Ondanks de beveiliging van belangrijke infrastructuur en de censuur van illegale websites, is het internet soms vergelijkbaar met het Wilde Westen. De arm der wet wordt gelukkig steeds langer. Mispeuter je iets online, dan kan de overheid gelukkig in de echte wereld op je voordeur komen kloppen. Als de lange arm der wet je tenminste weet te vinden. Cybercriminelen in verre landen zijn relatief immuun voor wettelijke represailles, burgers van België of Nederland zijn dat niet. De staat kan immers met een bevel van een rechter aankloppen bij een serviceprovider op zoek naar persoonsgegevens die achter een IP-adres schuilen.
Update van de wet
TechPulse klopt aan bij Alexei Loubkine, mede-venoot bij het advocatenbureau Van Olmen & Wynant. Hij legt ons op een niet al te juridische manier uit wat de staat nu precies mag opvragen over jouw surfgedrag wanneer je iets mispeutert.
De huidige stand van zake is, op zijn zachtst gezegd, in flux. Voor 2014 bestond er al wetgeving omtrent onder andere het opvragen van telefoongegevens en het instellen van telefoontaps. Met de verschuiving van communicatie richting het internet moest de wetgeving aangepast worden. Dat vond zowel Europa, dat in 2014 een richtlijn lanceerde, als België, dat die richtlijn in 2015 omzette naar lokale wetgeving. Nederland pastte zijn wet op de bewaarplicht van telecommunicatiegegevens aan de Europese vereisten aan.Het Europese hof vernietigde vervolgens de Europese richtlijn, het grondwettelijk hof kelderde de Belgische omzetting en in Nederland verklaarde de voorzieningenrechter de wet onverbindend. Reden: de regels zouden te verregaand zijn en zo op een buitenproportionele manier inbreuk maken op de privacy. De Europese teneur in dat opzicht is duidelijk: Europa mag geen tweede VS worden.
Belgische speculatie
Nemen we vandaag België als voorbeeld, dan zien we dat er een kersverse nieuwe wet van kracht is: de Dataretentiewet van 29 mei 2016. Wat daarin staat, bepaalt op dit moment wie wat mag opvragen, hoe en wanneer. De wet heeft de ambitie tegemoet te komen aan de grieven die de vorige Europese richtlijn het leven hebben gekost, maar is een nieuwe richtlijn voor. De tekst illustreert dus hoe België de toekomstige richtlijn inschat. Wanneer die er doorkomt, kan het goed zijn dat de Belgische wet opnieuw aangepast moet worden. Ook Nederland moet zich dan terug conform de regels schikken.
De dataretentiewet is van toepassing op da ganse internetsector. Denk daarbij aan de operatoren die de internetverbinding zelf verzorgen maar ook bedrijven achter communicatiediensten die van het internet gebruik maken. Zowel een Telenet en een Proximus als een WhatsApp of een Telegram moeten zich er dus aan houden. Zij zijn verplicht om bepaalde gegevens bij te houden.
Wat?
Het gaat volgens Loubkine om gegevens die betrekking hebben op identificatie, verbinding, lokalisatie en communicatie. Wat er precies onder die noemer valt, is niet helemaal duidelijk. Een koninklijk besluit dat de vernietigde wet uit 2014 aanvulde, wordt nog steeds als richtlijn gebruikt. Het gaat dan concreet om bijvoorbeeld IP-adressen, poortgegevens over de verbinding waarmee je bijvoorbeeld lid werd van een communicatiedienst maar ook de tijdstippen waarop je online gaat. “De bewaarde gegevens zijn niet zo incriminerend”, vind Loubkine. Data over je surfgeschiedenis valt niet onder de wetgeving. Je provider houdt dus niet bij dat je dagelijks naar mylittlepony.com surft, ook al ben kinderloos. “De inhoud van het internetgebruik wordt niet bijgehouden”, bevestigt Jan Margot van Proximus. Het gaat dus vooral om gegevens die je als metadata kan bestempelen.
Hoe lang?
Iedereen die onder de wet valt moet de relevante gegevens voor een periode van twaalf maanden bijhouden. De startdatum van dat jaar verschilt echter al naargelang de gegevens. Data over je inloggedrag moet een jaar lang beschikbaar zijn te beginnen na de inlogsessie in kwestie, data in verband met de identificatie van jou als gebruiker moet een jaar lang bewaard worden te beginnen van de laatste dag waarop je van de dienst gebruik kon maken. “In de praktijk wil dat zeggen dat identificatiegegevens zoals IP-adressen maar ook gegevens over de manier waarop je bijvoorbeeld je internetabonnement hebt betaalt tot twaalf maanden na het beëindigen van het contract moeten bewaard worden”, aldus Loubkine. Loopt de wettelijke bewaarplicht af, dan is iedereen die onder de wet valt meteen ook verplicht om de relevante gegevens te vernietigen.
Wie?
Daarmee heb je een idee van het soort gegevens dat ergens op een server woont. Het is niet omdat de data wordt opgeslagen, dat iedereen er zomaar naar kan kijken. Wie de gegevens kan opvragen is sterk afgebakend. “Het gaat om de procureurs, de gerechtelijke politie, de inlichtingendiensten, de Cel Vermiste Personen en de ombudsdienst voor telecommunicatie”, vat Loubkine samen. Ook de hulpdiensten kunnen in sommige gevallen data opvragen. Meestal is het een procureur van het Openbaar Ministerie of een onderzoeksrechter die naar toegang tot de gegevens zal vragen in het kader van een onderzoek. Wil de inlichtingendienst je IP-adres kennen, dan moet die strenge procedures doorlopen om misbruik te voorkomen.
Boetes
Iedereen die onder de wet valt, is verplicht om mee te werken aan een vraag van een bevoegde instantie. Wie denkt boven de wet te staan en de privacy van zijn gebruikers absoluut wil beschermen, kijkt aan tegen een geldboete tot 10.000 euro. Yahoo werd door gelijkaardige wetgeving in 2013 al veroordeeld omdat het niet wilde meewerken aan de identificatie van de gebruiker van een e-mailadres.
Om tegemoet te komen aan de vragen van de overheid moet iedere operator een ‘Coördinatiecel Justitie’ oprichten die zich bezig houdt met de behandeling van de aanvragen. Werknemers actief in dat departement van je provider kunnen in theorie aan de gegevens, maar met misbruik wordt niet gelachen. Wie zonder wettelijke toestemming naar jouw data gaat kijken, riskeert een gevangenisstraf tot drie jaar en een boete tot 50.000 euro.
Hoe?
Gegevens vallen onder twee noemers. Langs de ene kant heb je de zogenaamde statische identificatiegegevens. Dat zijn gegevens die terug te brengen zijn naar een erg concreet punt in de tijd. Als onderzoekers willen weten wie er schuil ging achter het IP-adres dat vorige week om 17u30 een kinderpornowebsite bezocht of een website probeerde te hacken, dan gaat het om zo’n data.
Dynamische gegevens kunnen in contrast niet geïsoleerd worden tot een bepaald punt in de tijd. Wanneer onderzoekers weten dat een IP-adres iets heeft mispeutert, maar ze niet weten wanneer, gaat het om zo’n gegevens. De richtlijnen zijn hier een stuk strenger dan bij de statische variant, omdat het om meer data en dus een aanzienlijk groter inbreuk op de privacy gaat.
Gaat het om statische gegevens, dan is er een schriftelijke en gemotiveerde beslissing nodig. Die hoeft niet te worden voorgelegd bij de opvraging, maar dient wel in het gerechtelijk dossier te worden bijgehouden. De motivatie moet desalniettemin duidelijk aangeven waarom de inbreuk op de privacy in het specifieke geval proportioneel is. Zijn er alternatieve onderzoeksmethodes die geen inbreuk op je privacy inhouden en hetzelfde resultaat kunnen bekomen, dan krijgen die altijd voorrang. Gaat het om lichte misdrijven, dan mag justitie zelfs geen gegevens opvragen die verder teruggaan dan zes maanden.
De dynamische gegevens worden enkel gedeeld met het gerecht wanneer er vooraf al ernstige aanwijzingen bestaan voor het misdrijf dat onderzocht wordt. Ook de eisen voor de motivering zijn in dit geval strenger.
Afluisteren
Margot vult het bovenstaande nog aan. Justitie kan in specifieke gevallen wel vragen om internetverkeer van verdachten te monitoren. In dat geval wordt er een ‘tap’ geactiveerd die je gerust kan vergelijken met een telefoontap. De politie kijkt dan mee met het gemonitorde internetverkeer. Dergelijke tapmisdrijven zijn per definitie zwaar en opnieuw is de motiveringsplicht bijzonder streng. Er moeten al voldoende andere elementen bestaan die suggereren dat je betrokken bent bij een ernstig misdrijf alvorens je telefoon- en internetverkeer zomaar gemonitord mag worden.
In conclusie kan je dus stellen dat gevoelige identificatiegegevens geruime tijd worden bijgehouden, maar dat het niet zo is dat de overheid over je schouder meekijkt naar je surfgedrag. NSA-praktijken waarbij alles wat je doet zo lang mogelijk op een superserver terecht komt, zijn hier vooralsnog niet aan de orde. De staat heeft wel de nodige tools in handen om misdrijven die in de digitale wereld plaatsvinden terug te koppelen naar je voordeur. Het probleem van buitenlandse criminaliteit blijft natuurlijk. Zelfs met een Europese richtlijn is er niets dat een Syberische operator tegenhoudt om de IP-adressen van een bende cybercriminelen voor zich te houden.
Dit was deel 3 in onze reeks over cybersecurity. Lees ook deel 1 over de beveiliging van kritieke infrastructuur en deel 2, waarin we dieper ingaan op censuur op het internet.