Deloitte en Ernst & Young hebben berekend hoeveel 'communicaties' Nederlandse internetproviders volgens de nieuwe wet 'bewaarplicht telecomgegevens' zouden moeten opslaan. "Wij komen tot een miljard communicaties per dag", aldus Ard Niesen van Deloitte Accountants tijdens een hoorzitting in de Eerste Kamer. Volgens hem is er wel een 'grote bandbreedte' in dit cijfer. "Exclusief spam komen wij uit op 451 miljoen communicaties per dag", stelde Guill Van den Boom van Ernst & Young.

Met de invoering van de nieuwe versie van het IP-protocol, IPv6, neemt de hoeveelheid gegevens die moet worden opgeslagen nog eens met een veelvoud toe.

Niet-openbare zitting

Van den Boom en Niesen spraken vorige maand over de haken en ogen aan de bewaarplicht tijdens een niet-openbare bijeenkomst in de Eerste Kamer. De senatoren houden diverse vraagtekens bij het wetsvoorstel, dat stelt dat communicatiegegevens zoals ip-adressen, mailadressen en tijdstippen een jaar lang moeten worden bewaard door internetproviders.

Het verslag van de bijeenkomst werd pas vorige week openbaar. De zitting was niet toegankelijk omdat er volgens een woordvoerder van de Eerste Kamer 'geen ruimte in het gebouw was voor publiek'. Op basis van de bijeenkomst komen de Eerste Kamerleden met een nieuwe serie vragen over het wetsvoorstel waar het kabinet antwoord op moet geven.

Kosten zitten in manuren

De grootste kostenpost voor de providers is volgens Niesen en Van den Boom niet de opslagcapaciteit, maar de arbeidsuren die gaan zitten in de voorbereiding en uitvoering van de bewaarplicht. Niesen denkt dat de opslagcapaciteit maar 5 tot 10 procent van de totale kosten bedraagt. De invoering van de bewaarplicht kost de gemiddelde provider volgens hem 'enkele miljoenen'.

Bij kleinere isp's zijn de kosten lager, maar volgens Van den Boom moeten deze providers 'wel grote stappen zetten', niet alleen op het gebied van technische zaken, maar ook voor wat betreft hun beveiliging en interne processen. Anders ontstaat het risico dat er gegevens op straat belanden.

Adviesbureau Verdonck, Klooster & Associates becijferde eerder dat de kosten van de invoering van de bewaarplicht over een periode van vijf jaar de providers tussen 133 en 157 miljoen euro zou gaan kosten.

Onverwijld

In het wetsvoorstel staat dat providers gegevens 'onverwijld' beschikbaar moeten stellen, maar onduidelijk is nog wat de precieze termijn wordt. "Als het binnen enkele uren moet, vallen veel opties af. Het vereist een veel complexere en zwaardere systematiek van gegevensontsluiting, dan wanneer je daarvoor enkele dagen de tijd krijgt", aldus Niesen.

Hij vindt dat er één uniforme aanpak voor de data-opslag moet worden voorgeschreven door de overheid. "Anders weet ik zeker dat je 300 verschillende implementaties zult zien. Zij zijn dus niet hetzelfde. De wet biedt heel veel ruimte voor interpretatie. Ik vrees dat het tot veel onnodige kosten leidt en ik ben ook bang dat de kwaliteit van de gegevens die uiteindelijk worden vastgelegd, eronder lijdt."

Alleen domme boeven te pakken

De Eerste Kamerleden zijn ervan doordrongen dat de bewaarplicht kinderlijk eenvoudig is te omzeilen door kwaadwillenden. "Dit is voor de echte domme boeven", concludeerde Tineke Strik van GroenLinks. Niesen en Van den Boom wonden er ook geen doekjes om. Doordat de bewaarplicht alleen slaat op Nederlandse isp's, is gebruikmaken van buitenlandse internetdiensten, zoals Skype, al voldoende om registratie via de bewaarplicht te omzeilen, vertelden ze.

CDA-senator Hans Franken, een van de criticasters van de bewaarplicht: "Er hoeven niet veel kosten gemaakt te worden om het te omzeilen en er nauwelijks technische kennis voor nodig. Die programma's worden gratis aangeboden."

Tunneling en VPN

Ook het gebruik van 'tunneling' om internetverkeer ontraceerbaar te maken, werd genoemd. "Het is ook mogelijk om tunnels te bouwen over het internet, waarbij gesprekken die via internet plaatsvinden niet via de bekende labels als Skype of Microsoft messenger maar via specifiek op maat gemaakte oplossingen die niet zichtbaar zijn", aldus Van den Boom.

Volgens Niesen is de bewaarplicht veel effectiever als ook Amerika op dezelfde wijze gegevens gaat bijhouden. "Dan pakken zij het stukje Hotmail en zou je samen misschien wel alle gegevens krijgen waarmee het probleem kan worden opgelost."

Senator Rob Van de Beeten (CDA) wilde nog weten of de bewaarplicht geldt als hij via een VPN-verbinding met zijn kantoor communiceert. Ook daarop was het antwoord negatief. Dat valt buiten de wet omdat dat verkeer binnen het kantoornetwerk valt: een niet-openbaar netwerk. Bovendien wordt het niet geregistreerd omdat de gegevens versleuteld zijn. Niesen: "Alleen is duidelijk dat een verbinding open staat, maar wat door de tunnel gaat, is niet helder." "Dus boosaardige types hebben een tunnel?" aldus Ankie Broekers-Knol (VVD).

Foute conclusies

Hans Franken vreest ook dat door identiteitsfraude burgers ten onrechte als verdachten zullen worden aangemerkt op basis van bewaarplichtdata. Niesen erkende dat en gaf als voorbeeld het hacken van een WiFi-verbinding en IP-spoofing. Volgens hem is ook nooit met zekerheid te zeggen of gegevens bij een bepaalde klant horen. "Het is zo gemakkelijk om in te breken of om je anders voor te doen dan je daadwerkelijk bent op het internet."

Volgens het kabinet leidt de bewaarplicht ertoe dat Justitie meer aanknopingspunten krijgt voor het starten van opsporingsonderzoeken. Als sluitend bewijsmateriaal lijken de verzamelde gegevens niet aannemelijk.

Tiny Kox (SP) verbaasde zich er over dat 98 procent van de bijgehouden gegevens gaat over spam. "Het is fascinerend dat de hele wereld bezig is met het weggooien van dingen die men niet wil hebben en dat wij nu een systeem ontwikkelen om gegevens te bewaren."

Op 27 januari leveren de Eerste Kamerfracties hun inbreng in. Het kabinet reageert daar op, waarna uiteindelijk het voorstel later volgend jaar ter stemming komt.