Erik S. zit al maanden in de cel in afwachting van zijn proces. Hij wordt verdacht van de moord op Martine Bruil, zijn rijke tante. Er is weinig bewijs tegen hem. Er is één haar op de kleding van het slachtoffer aangetroffen dat van Erik S. of een ander mannelijk familid kan zijn, én er zijn de locatiegegevens van zijn telefoon. Tijdens het onderzoek heeft de politie alle telefoongegevens opgevraagd en volgde zijn telefoon naar het huis van zijn tante. Erik zegt dat hij zijn telefoon heeft uitgeleend, maar de rechter gelooft er niets van. Erik S. werd veroordeeld tot 16 jaar cel met TBS, op basis van een haar en telefoongegevens.

De Duitse politicus Malte Spitz wilde wel eens weten wat je met al die data kunt. Hij vroeg al zijn gegevens op bij zijn telefoonprovider en overhandigde ze aan de Duitse krant Zeit, die de telecomgegevens verwerkt heeft in een interactieve Google Map. Spitz was van minuut tot minuut te volgen, maar de vraag is; kan zoiets ook in Nederland? Ja, dat kan en het gebeurt. Opsporingsdiensten vragen 78.000 keer per jaar de locatie op van een telefoon in Nederland. In totaal werden in 2009 een kleine 3 miljoen keer gegevens opgevraagd door opsporingsdiensten. En daarmee zijn we koploper in Europa.

225 keer per dag

Maar welke gegevens worden vastgelegd? Rejo Zenger deed een beroep op de Wet Bescherming Persoonsgegevens (WBP) en vroeg al zijn gegevens op bij telecomprovider Telfort. Hij wilde weten wat er wordt opgeslagen en hoe vaak dat gebeurt.

Zodra de telefoon wordt gebruikt, wordt op het netwerk geregistreerd via welke zendmast dat gebeurt, waar de data vandaan komt en waar het naar toe gaat. Er wordt geregistreerd wie je belt of sms't en waar je internet. De inhoud, het gesprek of de webpagina zelf, wordt niet bewaard. Aan de hand van de zendmast wordt ook jouw locatie vastgelegd. Iedere dataverbinding die je aangaat wordt gelogd. Dus bij ieder inkomend of uitgaand telefoontje en sms'je, maar ook iedere keer dat je Twitter app een achtergrond update doet.

Een juridische strijd van anderhalf jaar eindigde teleurstellend. Zenger kreeg toegang tot een deel van de gegevens, maar omdat Telfort geen eigen zendmasten heeft, maakt het gebruik van het netwerk van KPN. Daardoor kon Telfort niet meer informatie geven dan een gespecificeerde rekening, terwijl de interessante gegevens bij KPN liggen. Zenger zet zijn strijd voort, maar het is dus nog steeds onduidelijk hoe vaak in Nederland je telefoon contact maakt met een mast en wat er precies wordt opgeslagen.

Maar we hebben wel een idee. Uit een Deens onderzoek blijkt dat de gemiddelde Deen 225 keer per dag gemonitord werd, gemiddeld iedere zes minuten, genoeg om bij te houden waar je bent en waar je naar toe gaat.

Na de berichtgeving over Malte Spitz zijn ook de Nederlandse Tweede Kamerleden wakker geworden. Een meerderheid wil weten hoe vaak een beroep wordt gedaan op telecomdata en hoeveel aanvragen ook daadwerkelijk worden gehonoreerd. De kamervragen lijken er vooral op gericht te zijn om aandacht te vragen voor het onderwerp. De antwoorden zijn namelijk openbaar dankzij een het inzageverzoek van Zenger.

3 miljoen

In 2009 zijn er in totaal een kleine drie miljoen klantgegevens opgevraagd via het Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT). Daar vallen ook camera- en financiële gegevens onder. Als je specifiek kijkt naar de telecomgegevens dan gaat het om ongeveer 78.000 bevragingen over 2009. Geschat wordt dat ongeveer 85% van die bevragingen voor verkeersgegevens van telefonie zijn en de rest voor gegevens met betrekking op internet. Die gegevens worden in Nederland veel vaker opgevraagd dan in omliggende landen. En uit onderzoek van het Ministerie van Veiligheid en Jusititie (PDF), p86 blijkt dat de verzoeken zelden tot nooit worden geweigerd.

Uit de zaak van Erik S. blijkt dat locatiegegevens wel degelijk belangrijk zijn voor strafrechtelijke onderzoeken. De politie kan snel controleren of de (telefoon van de) verdachte op de locatie van het misdrijf is geweest. Sinds de invoering van de bewaarplicht van telecomdata is daar veelvuldig gebruik van gemaakt. Volgens de Nederlandse wet hebben alleen een zestal opsporingsdiensten toegang tot de gegevens die de telecomproviders opslaan. Daarbij is het niet toegestaan om de locatiedata te koppelen aan andere databanken, maar de wet verbiedt het gebruik van openbare informatie, zoals Twitter en Foursquare, niet.

Problemen

Maar wordt de wet ook nageleefd? Uit diverse onderzoeken blijkt dat er in de praktijk nogal wat problemen zijn. Zo vernietigt 37 procent van de bedrijven de gegevens te vroeg of te laat, maar 39 procent van de bedrijven vernietigt de gegevens nooit. Dat blijkt uit het 'Eindrapport Nulmeting Wet Bewaarplicht'. Slechts 24 procent van de telco's vernietigt gegevens op tijd.

Maar er zijn meer problemen. In de meeste gevallen is de overheid wettelijk verplicht een burger te melden dat zijn of haar gegevens zijn opgevraagd. In de praktijk wordt die notificatieplicht 'niet of nauwelijks nageleefd' (PDF, p. 99). Eenzelfde probleem werd vastgesteld na de invoering van de wet Bijzondere Opsoringsbevoegdheden of BOB in 2002. Opsporingsdiensten zeggen dat de notificatie er vaak 'bij in schiet'.

De onderzoekers concluderen dat het naleven van dit deel van de wet 'nog niet erg leeft' in de praktijk. In hetzelfde onderzoek wordt geconcludeerd dat de bovenregionale recherche weinig problemen ondervindt met de wet, maar lagere opsporingsdiensten worstelen met de finesses en procedures van de wet. De minister onderschrijft de problemen in een brief aan de Tweede Kamer. Slechts een deel van de opsporingsdiensten geeft aan dat zij voldoen aan de privacy-regels en uit een steekproef blijkt dat regels ook worden overtreden. De minister geeft de korpsen tot 1 mei om aan alle eisen te voldoen. Doen ze dat niet, dan wordt de directe toegang tot het CIOT ontzegd. Het opvragen van gegevens loopt dan via een opsporingsdienst die zich wel aan de regels houdt.

PIM

Wat kun je eraan doen? "Niets", zegt Axel Arnbak van burgerrechtenorganisatie Bits of Freedom. "Zelfs encryptie werkt niet. De gegevens worden weliswaar versleuteld, maar de verkeersgegevens van de telefoon worden nog steeds geregistreerd op het netwerk van de provider. Encryptie werkt alleen voor de inhoud van het gesprek of van een e-mail die mobiel wordt verzonden, maar die gegevens worden toch al niet opgeslagen. Mensen die kwaad willen, kunnen het systeem omzeilen door bijvoorbeeld een Marokkaanse of Turkse (niet-Europese) simkaart gebruiken. Dat is duur, maar die providers zijn niet verplicht om hun gegevens te loggen."

In Duitsland zijn mensen zich veel meer bewust van de risico's van het opslaan van gegevens. Volgens Arnbak is dat omdat een groot deel van Duitsland tot 1989 onder een communistisch regime viel, met een bijzonder actieve geheime dienst. Maar Arnbak signaleert ook dat Nederlanders wakker worden. "Het voorbeeld van de Duitse politicus maakt heel duidelijk wat de mogelijkheden zijn van de bewaarplicht. Wat Spitz liet zien kan voor iedere Nederlander met een mobiele telefoon gedaan worden. De beperking van het data-minen is niet van toepassing op openbare gegevens. Als jij vrijwillig je locatie deelt via bijvoorbeeld Foursquare of Twitter, dan mogen opsporingsdiensten die informatie gewoon gebruiken."

Bits of Freedom werkt aan PIM, de Privacy Inzage Machine. Met de machine moet je met één druk op de knop een verzoek kunnen sturen naar alle databanken in Nederland om al je opgeslagen gegevens openbaar te maken. Op dit moment wordt er bij Bits of Freedom druk gewerkt aan een beta-versie van PIM, maar Arnbak durft niet te zeggen wanneer het systeem online gaat.

Inmiddels wacht een wetsvoorstel op behandeling in de Tweede Kamer dat de bewaarplicht voor Internet Service Providers terugbrengt tot 6 maanden. Telecomgegevens moeten ook na de reparatiewet nog 12 maanden bewaard worden. Maar dat is wat Axel Arnbank betreft niet genoeg. "Deze wet is niet effectief en niet noodzakelijk. Sinds de inwerkingtreding zijn er niet meer zaken opgelost, maar de privacy van miljoenen burgers wordt dagelijks geschonden. Bovendien zijn die databases met gegevens een interessant doelwit voor hackers. Die gegevens kunnen gebruikt worden voor identiteitsfraude. Je kunt je ip-adres bijvoorbeeld spoofen. De beste oplossing is om die hele bewaarplicht te schrappen."