Bij een kleine honderd Nederlandse internetaanbieders plofte deze week een brief van het Agentschap Telecom op de mat. Onder providers is het agentschap vooral bekend omdat het erop toeziet dat de netwerken van de aanbieders aftapbaar zijn. In de brief schrijft het Agentschap Telecom dat de instantie binnenkort ook gaat controleren of de providers wel zorgen dat de informatie van en over een tap goed is beveiligd.

Niet iedere werknemer van een internetaanbieder mag immers te weten komen dat Justitie net een verzoek heeft ingediend om een bepaalde klant af te tappen – laat staan dat iedereen te weten mag komen welke gebruiker er wordt afgetapt.

In het Besluit beveiliging gegevens aftappen telecommunicatie (BBGAT voor ingewijden) is vastgelegd aan welke eisen de providers moeten voldoen bij het beveiligen van dergelijke informatie. Zo moet de ruimte waar de tap plaatsvindt, 'deugdelijk fysiek beveiligd' zijn. Werknemers van de provider mogen alleen naar binnen als ze toestemming hebben. Bovendien moet achteraf duidelijk zijn welke personen de ruimte hebben betreden.

Volgens het Agentschap Telecom waren de aangeschreven providers al op de hoogte van het BBGAT. "De betreffende providers hebben we allemaal al eens bezocht. Tijdens die bezoeken hebben we al aangekondigd dat dit besluit er aan zat te komen. Via deze brief herinneren we hen daaraan", aldus Arjan Ribberink van het Agentschap Telecom.

Goed gedrag

Erik Bais van IS Interned Services voorziet echter grote problemen bij de uitvoering van het BBGAT. Zo moet personeel dat rechtstreeks te maken krijgt met tapverzoeken en het verstrekken van informatie, een geheimhoudingsverklaring ondertekenen en een verklaring van goed gedrag kunnen overleggen.

"Er zijn mensen die hier al zeven jaar werken, maar die nooit een verklaring van goed gedrag hebben hoeven in te leveren. Moeten we die dan nu ontslaan als ze dat niet doen? Het zijn wel de experts achter de schermen die het werk doen", aldus Bais.

"Ook de fysieke beveiliging en de geheimhouding worden een uitdaging", meent Bais. "Op het moment dat je voor het aftappen van een klant een doos in je datacenter installeert, dan zal het personeel dat daar binnenloopt dat zien."

Ribberink bestrijdt dat providers straks personeelsleden moeten ontslaan vanwege het BBGAT. "De mensen die niet door de screening heenkomen, mogen alleen niet betrokken zijn bij de tapgegevens. Verder kunnen ze natuurlijk gewoon bij de internetaanbieder blijven werken." Ribberink kan niet zeggen hoeveel mensen er bij een gemiddelde provider betrokken zijn bij de uitvoering van een taplast.

Bais denkt dat vooral kleine providers in een lastig parket terecht kunnen komen. "Stel dat je een provider hebt waar twee mensen werken. Daarvan is er één ooit gepakt omdat hij dronken achter het stuur zat. Zo'n provider kan dan niet voldoen aan een taplast."

Cryptisch

Het Agentschap Telecom heeft een checklist (pdf) opgesteld waaraan providers moeten voldoen. "Het is vervolgens aan de provider hoe hij het beveiligingsplan vaststelt", zegt Ribberink.

Volgens Bais is er niet goed nagedacht over de praktische invulling. "Wat ze eigenlijk zeggen is: zoek het zelf maar uit. In de brief van het agentschap staat ook weinig over de zaken waarop ze gaan controleren. Het blijft allemaal vrij cryptisch."

"Het zou de overheid sieren als ze voorbeelden van een beveiligingsplan online zetten, zodat niet iedere provider het wiel opnieuw hoeft uit te vinden. Als het Agentschap Telecom de checklist aanvult met voorbeelden, zou dat al een stuk helpen."

Bewaarplicht

Veel problemen hadden volgens Bais voorkomen kunnen worden als de overheid van tevoren had overlegd met de internetaanbieders.

Als er een bewaarplicht komt voor internetaanbieders worden de problemen volgens Bais nog veel groter. "Het aftappen van abonnees vindt incidenteel plaats, maar bij de bewaarplicht moet je bijvoorbeeld voortdurend bijhouden wie er in een bepaalde ruimte is geweest."