In januari werd bekend dat de politie een logfile met de ip-adressen van 25.000 bezoekers aan de website www.louisseveke.nl in handen heeft gekregen. De website is opgezet door familie en vrienden van de vermoorde Nijmeegse activist Louis Sévèke. Ironischer kon het natuurlijk niet, Sévèke was immers iemand die politie en inlichtendiensten al jaren kritisch volgde en daar uitvoerig over publiceerde. Wat de politie precies hoopt te bereiken met de 25.000 ip-nummers van journalisten, activisten en andere geïnteresseerden is onbekend. Mogelijk gokt het onderzoeksteam erop ergens in die hooiberg het ip-nummer van de moordenaar te vinden. Vooralsnog zijn alle bezoekers van de website potentiële criminelen.

Het is juridisch gezien een fluitje van een cent om voor alle 25.000 ip-nummers de identiteit van de gebruikers op te vragen. De politie hoeft slechts in de openbare database van Ripe op te zoeken bij welke isp's de nummers behoren. Vervolgens heeft elke opsporingsambtenaar in Nederland (dat zijn er zo'n stuk of 40.000, inclusief boswachters) de wettelijke bevoegdheid om aan de isp's te vragen wat de naam, adres en woonplaats van de bijbehorende abonnee is. Daar komt verder geen officier van justitie of rechter aan te pas. Het is nooit de bedoeling geweest om dit soort wetgeving te gebruiken voor een sleepnet-methode en de gegevens van 25.000 internet gebruikers op te vragen. Maar de politie is duidelijk bezig de grenzen van de wet op te zoeken en te verleggen.

Vervelende bijkomstigheid is nog dat de vordering van de Nijmeegse politie aan het webhostingbedrijf in kwestie niet klopte. Juridisch gezien is webhosting een buitenbeentje op internet. Veel wetgeving waarmee politie en justitie gegevens kunnen opvragen bij telefoon- en internetbedrijven heeft alleen betrekking op telecommunicatie, bijvoorbeeld telefoon, e-mail- en internettoegang. Webhosting is geen telecommunicatiedienst. Toch had de politie een vordering opgesteld alsof webhosting binnen dergelijke wetgeving valt.

Het webhostingbedrijf had de vordering dus best kunnen weigeren. Maar de praktijk is weerbarstiger. De politie dreigde dan namelijk de server van het bedrijfje in beslag te nemen. Veel webhostingbedrijven zijn klein, het zijn eenmanszaken of er werken slecht enkele personen. Soms heeft zo'n bedrijf slechts een enkele server en wanneer die in beslag wordt genomen ligt alles plat. In het geval van www.louisseveke.nl stond de eigenaar van het bedrijf op het punt voor enkele dagen naar het buitenland te reizen. De combinatie van tijdsdruk, de dreiging van inbeslagname en weinig juridische kennis zorgden ervoor dat de logfile aan de politie werd gegeven. Deze gang van zaken is waarschijnlijk geen uitzondering. Kleine webhostingbedrijven zijn kwetsbaar en politie en justitie zullen zich dat terdege realiseren.

Het gemak waarmee de opspoorders grote hoeveelheden gegevens kunnen opvragen, smaakt naar meer. Sinds 1 januari 2006 is de wet bevoegdheden vorderen gegevens in werking getreden. Dit is een wet die de opsporing een enorme armslag geeft. Politie en justitie hebben nu de bevoegdheid om bij alle bedrijven en instellingen grote hoeveelheden gegevens op te vragen.

Je kunt het zo gek niet bedenken of het valt binnen deze wet: logfiles van websites, de leenadministratie van een bibliotheek gegevens over de klanten van verhuurbedrijven, winkels, supermarkten, reisgegevens bij de openbaar vervoerbedrijven, de lijst is oneindig.

Niet alleen bestaande gegevens moeten op bevel aan de politie overgedragen worden, het kan ook gaan om toekomstige gegevens. De vraag van de politie kan bijvoorbeeld zijn wie een bepaalde website in de komende maand gaan bezoeken. Waarom de politie in het geval van www.louisseveke.nl geen gebruik heeft gemaakt van de nieuwe wetgeving is nog een raadsel. Misschien wisten de opspoorders nog niet goed hoe ze de nieuwe bevoegdheden moeten gebruiken. Daar zal echter snel verandering in komen.

De sleepnet-methode is absoluut in opkomst en het opvragen van gegevens over onschuldige website-bezoekers zal zeker geen uitzondering blijven. Want behalve nieuwe wetgeving is er nog een andere belangrijke ontwikkeling. Het is een tendens om steeds meer systemen op te zetten met zeer grote hoeveelheden gegevens over burgers. Het bestaan van dergelijke systemen creëert vrijwel automatisch de behoefte bij de opsporing de gegevens te gebruiken.

Soms zorgt de overheid ervoor dat de gegevens worden opgeslagen, bijvoorbeeld bij de bewaarplicht verkeersgegevens. In andere gevallen zijn het bedrijven die om redenen van bijvoorbeeld direct-marketing en logistiek systemen bouwen met zeer veel gegevens van consumenten.

Wanneer rfid op grote schaal ingevoerd wordt, zal iedere buurtsupermarkt gedetailleerde data over het koopgedrag van z'n klanten hebben. De voorzitter van het College van Procureurs-Generaal hield vorig jaar nog een toespraak waarin hij schetste welke mogelijkheden rfid voor de opsporing heeft. Een andere voorbeeld is de invoering van de ov-chipkaart waarbij openbaar vervoerbedrijven zoals de NS van plan zijn nauwkeurig het reisgedrag van hun klanten op te slaan (als het CBP daar geen stokje voor steekt).

In 2005 schreef (pdf) de Amsterdamse korpschef over het gebruik van technologie bij de opsporing. Hij droomt over een 'virtuele slotgracht',

een systeem voor de continue monitoring van mensen, goederen en gegevens, om zo 'het kwaad' uit de samenleving te weren. De realiteit lijkt nu dat de virtuele slotgracht al in aanbouw is. De data is beschikbaar en de bevoegdheden om ze op te vragen zijn al geregeld.

Bedrijven, en zeker webhostingbedrijven, doen er goed aan zich te informeren over de bevoegdheden van de politie om gegevens en administratie op te vragen. Misschien dat ongelukjes zoals met de site www.louisseveke.nl dan in de toekomst voorkomen kunnen worden.

Justitie heeft al bevoegdheden zat, het is onnodig om daar onder tijdsdruk en dreiging nog meer aan toe te voegen.