• Buro Jansen & Janssen is een onderzoeksburo dat politie, justitie, inlichtingendiensten, de overheid in Nederland en Europa kritisch volgt. Een grond-rechten kollektief dat al 30 jaar publiceert over uitbreiding van repressieve wetgeving, publiek-private samenwerking, bevoegdheden, overheids-optreden en andere staatsaangelegenheden.
    Buro Jansen & Janssen Postbus 10591, 1001EN Amsterdam, 020-6123202/06-34339533, info@burojansen.nl.
    Steun Buro Jansen & Janssen. Word donateur, NL56 INGB 0000 6039 04 ten name van Stichting Res Publica, Postbus 11556, 1001 GN Amsterdam.
  • Publicaties

  • Europa

  • Politieklachten

  • Luistervinken om de tafel

    de casus

    ‘Ik vraag me af,’ herhaalt Yuri Devi van Vecai, ‘of Justitie wel precies weet wat ze wil. De aftapeisen die gesteld worden, zoals het aantal tegelijk af te tappen lijnen, liggen boven de huidige praktijk. Volgens ons zijn het onmogelijke eisen, alleen al gelet de kosten.’
    De sfeer in het Deelorgaan Aftappen van het Ministerie van Verkeer en Waterstaat is gespannen. Maandenlang al onderhandelen de overheid en de telecombedrijven over de nieuwe aftapeisen die de gewijzigde Telecommunicatiewet met zich meebrengt. De gesprekken verlopen moeizaam.
    Anton Knijpp van Verkeer en Waterstaat vraagt het woord. ‘Deze eisen zijn vastgelegd in de u bekende Raadsresolutie van de Europese Unie. De inhoud is afgestemd met mondiale marktpartijen en ambtelijke vertegenwoordigers van de VS, Canada en Australië. Dit is gebeurd in het kader van de International Law Enforcement on Telecommunications-
    conferentie. Dit zijn de eisen die ook de Nederlandse regering hanteert. Volgens de Telecommunicatiewet bent u verplicht aan deze eisen te voldoen.’


    Johan Braas van IBM wijst op een ander probleem. ‘Er is te weinig aandacht voor het aansprakelijkheidsvraagstuk. Als gevolg van ingrijpen in datacommunicatie en Internet-achtig verkeer kunnen bestanden beschadigd of vernietigd worden. In relatie tot aftappen levert dat een zeer complexe aansprakelijkheids-
    problematiek op.’
    Rob Eilker van de NLIP wijst ook al op de onduidelijke bevoegdheden. ‘Ik heb van operators en dienstaanbieders begrepen dat er problemen zijn met de bevoegdheden van opsporingsinstanties. In elke fase van het onderzoek bestaan er onduidelijkheden over de bevoegdheden en over de invulling ervan.’
    De voorzitter besluit alle vragen naar de volgende vergadering door te verwijzen en sluit de bijeenkomst. In de gang praten Van Kerkeycke en Mooskens van Binnenlandse Zaken nog even na. ‘Hoe zullen ze reageren wanneer ze horen van de nieuwe bevoegdheden van de BVD om alle satellietcommunicatie ongericht te tappen?’ vraagt Mooskens zich bezorgd af. Van Kerkeycke haalt zijn schouders op. ‘Dit zijn achterhoedegevechten. Desnoods geven we ze een overgangsperiode of zo, om aan het idee te wennen. Als al die installaties maar aftapbaar worden gemaakt, dat is het enige dat telt.’ ‘Een internetmoord,’ mompelt Mooskens. ‘Pardon?’ vraagt Van Kerkeycke. ‘Een Internetmoord,’ herhaalt Mooskens. ‘Soms zou ik willen dat er een Internetmoord plaatsvond. Moet je eens kijken hoe snel we het er dan doorheen hebben.’

     

    2. LUISTERVINKEN OM DE TAFEL

    Harmonisatie van internationale afluistervereisten

    De pogingen om Internet en encryptie onder controle te krijgen, hebben per definitie een internationaal karakter. Internet is immers een wereldwijd communicatienetwerk, dat dus ook wereldwijde controle vergt. Een eerste zorg van de autoriteiten was het aftapbaar houden van alle nieuwe communicatiesystemen, die elkaar steeds sneller opvolgen. Harmonisatie van de technische aftapvereisten en het opleggen van deze eisen aan de telecomindustrie vormt dan ook een hoofdingrediënt van de internationale aftapoverleggen.

    Sinds 1987 bestaat er een informeel internationaal samenwerkingsverband dat het aftappen van communicatie als onderwerp heeft. Deze Quantico-groep, oftewel ILETS (International Law Enforcement on Telecommunications Seminair), is een initiatief van de Amerikaanse FBI. Op de achtergrond speelt de National Security Agency (NSA), Amerika’s meest geheime dienst en gespecialiseerd in het afluisteren van alles dat afluisterbaar is, een sturende rol.[1]
    De snelle technologische ontwikkelingen in de telecommunicatiesector, de privatisering van de sector en de opkomst van globale communicatiesystemen vormden de aanleiding voor de Verenigde Staten om de samenwerking te zoeken met andere Westerse mogendheden. De lidstaten van de Europese Unie, de – toen nog – aspirant EU-lidstaten Noorwegen, Zweden, Finland en Oostenrijk en de Echelonpartners Australië, Nieuw Zeeland, en Canada zijn de vaste deelnemers aan de vergaderingen.

    Een belangrijk doel van de Quantico-bijeenkomsten is het gezamenlijk bewerken van de telecommunicatie-industrie. Vroeger was het aftappen van telefoonlijnen een relatief simpele zaak. De technologie was niet al te ingewikkeld en de telefoonmaatschappijen waren in handen van de overheid. Sinds de telecommarkt geprivatiseerd is zijn telecomaanbieders als paddestoelen uit de grond geschoten. De technologie heeft tot tal van nieuwe communicatiemiddelen geleid en in toenemende mate vindt de communicatie internationaal plaats. De grote vraag waar de afluisteraars mee worstelen is: hoe slagen we er in het groeiende communicatie-oerwoud van GSM, satelliettelefoon, e-mail, Internet en andere moderne snufjes afluisterbaar te houden? De integratie van moderne encryptietechnologie in communicatiemiddelen is daarbij een extra zorg aan de justitiële hoofden. De ILETS-deelnemers willen de zekerheid dat de private telecomaanbieders net zo constructief meewerken aan de aftapwensen als de aloude staatsbedrijven dat deden. Daarnaast vinden zij het van groot belang dat al in de prille ontwerpfase van nieuwe technologieën rekening wordt gehouden met de aftapbaarheid ervan.
    Het werk voor de Europese Unie wordt gedaan door de Werkgroep Politiële Samenwerking van de Europese Raad voor Justitie en Binnenlandse Zaken (JBZ-Raad). Zij kreeg in 1993 opdracht een rapport op te stellen over de stand van zaken in de moderne telecomwereld. In deze werkgroep is voor Nederland naast de Centrale Recherche Informatiedienst (CRI) ook de Binnenlandse Veiligheidsdienst (BVD) afgevaardigd.[2] ‘De eerste contacten met verschillende consortia hebben uiteenlopende resultaten laten zien, variërend van grote bereidheid tot samenwerking, tot de weigering om de kwestie zelfs maar te bediscussiëren,’ schreef de werkgroep. ‘Daarom moeten de regeringen de nieuwe consortia bewust maken van hun verantwoordelijkheden.’[3]

    Bewustwording gaat in dit geval via de portemonnee. In januari 1995 nam de JBZ-Raad een resolutie aan over de ‘wettelijke interceptie van communicatie’. In deze resolutie stonden de door Amerika en de Europese Unie geformuleerde technische eisen opgesomd waaraan de telecomaanbieders moeten voldoen. [4] De volgende stap van de Quantico-groep was om de gezamenlijk vastgestelde aftapnormen een zo breed mogelijke werking te geven. Via een ‘Memorandum of Understanding on the legal interception of telecommunications’, dat werd ondertekend op 23 november 1995, werden andere landen op de hoogte gesteld van het Quantico-initiatief en uitgenodigd om zich achter deze aftapnormen te scharen. In het Memorandum staat dat ’de mogelijkheden voor het afluisteren van telecommunicatie in toenemende mate bedreigd worden.’ Daarom achten de opstellers ervan het noodzakelijk ‘internationale afluisterstandaarden’ te introduceren, benevens ‘normen voor de telecommunicatie-industrie voor het uitvoeren van afluisterorders.’[5]
    De internationale telecomindustrie werd benaderd met een brief aan internationale instituten die zich richten op de standaardisatie van telecommunicatieapparatuur, zoals de International Telecommunication Union (ITU) en het European Telecommunications Standards Institute (ETSI). In deze brief wijzen de ondertekenende landen erop dat ze aanbieders van telecom-diensten zullen houden aan de technische eisen zoals eerder geformuleerd. De boodschap is niet mis te verstaan: wil een telecomaanbieder nog op de markt van de grote industrielanden terecht kunnen, dan moet hij zijn apparatuur bij voorbaat afluisterbaar hebben gemaakt volgens deze normen.[6]
    In 1997 nam de ITU een resolutie aan waarin zij oproept om prioriteit te geven aan de harmonisatie van de technische vereisten die aftappen mogelijk maken.[7] Binnen het ETSI is het Technical Committee Security (TC SEC) verantwoordelijk voor het omzetten van de interceptie-eisen. In deze werkgroep wordt zowel gewerkt aan crypto-standaarden, als aan afluisterstandaarden voor de Lawful Interception Ad hoc group. Alles handig bijelkaar, zullen we maar denken.

     

    Aftapbaar
    In de informele internationale overlegorganen komen Internet en encryptie steeds centraler te staan. Wat gold voor de samenwerking bij het afluisteren van gewone en mobiele telefoons, gold grosso modo ook voor het afluisteren van Internet: hoe zorgen we er voor dat Internet aftapbaar is en blijft? De vertrouwde weg wordt gevolgd: het opstellen van eisen voor de industrie en druk uitoefenen op de standaardisatie-organen en Internetbedrijven.
    In Europees verband wordt daarom gewerkt aan de opstelling van nieuwe technische eisen waaraan telecomaanbieders moeten voldoen. De eerste nieuwe technische eisen lekken uit in september 1998. In document Enfopol 98, dat het Duitse Internetmagazine Telepolis publiceert, staat een catalogus van eisen opgesomd. Uit het document blijkt dat de Europese landen het zekere voor het onzekere nemen: àlle vormen van communicatie moeten aftapbaar zijn. Telefoongesprekken, email, versleutelde berichten, biepers, doorgeschakelde nummers, faxen, ISDN-lijnen, mobiele telefoons, satellietverbindingen, voicemail, tele-vergaderingen – ze dienen allemaal direct afluisterbaar te zijn. Ook verbindingen die niet tot stand komen moeten geregistreerd kunnen worden. Binnen ‘milliseconden’ moet het dataverkeer doorgeschakeld zijn naar de tapkamers. Als het nodig is moeten meerdere diensten uit verschillende landen tegelijkertijd kunnen meeluisteren.
    Extra aandacht is er voor Internet. Passwords, de wegen die op het Internet bewandeld worden, de email-correspondentie, informatie die wordt gedownload – justitie wil erover kunnen beschikken. Telecombedrijven die encryptie als dienst aan hun abonnees aanbieden worden verplicht bij justitie de sleutel in te leveren, of de getapte gesprekken in klare taal door te geven. ‘De wettelijk bevoegde autoriteiten moeten het gehele telecommunicatieverkeer permanent en in real time kunnen observeren’ valt in het document te lezen. De Justitieministers worden opgeroepen om de eisen door te spelen aan de voor telecommunicatie verantwoordelijke ministers en er gezamenlijk voor te zorgen dat het beleid geïmplementeerd wordt.[8]

    Uit latere versies van het document blijkt dat de verschillende onderdelen in partjes worden opgedeeld en op verschillende niveaus verder besproken. Begin 2000 is het nog steeds onduidelijk wat daar precies van terecht zal komen. Het lijkt erop dat de JBZ-ministers Internet en encryptie iets té enthousiast hebben willen afhandelen. Charles Elsen, binnen het Secretariaat-Generaal van de Europese Raad verantwoordelijk voor dit dossier, gaf eind 1999 aan dat voor Internet een aparte oplossing moet komen. ‘Het Internet werpt een groot aantal nieuwe problemen op. Er zijn niet alleen technische problemen, maar ook problemen met inhoud die op Internet beschikbaar is. Voor het Internet zal een zelfstandige oplossing moeten komen.’[9]
    De technische problemen waar Elsen naar verwijst, werden ook verwoord door de Internet-industrie. Het grootschalig afluisteren van Internet kent technische problemen, die niet allemaal zijn opgelost. Bovendien blonk de terminologie in de Enfopol-documenten uit door vaagheid. Internetproviders bijvoorbeeld verwezen de wensen van de JBZ-Raad naar het rijk der onmogelijkheden. Uit een studie van het STOA is bekend dat de NSA al wel mogelijkheden heeft om het Internet-verkeer te monitoren. Op Internet-knooppunten is ‘snuffel-software’ geïnstalleerd om email en Internet-verkeer te observeren. Met behulp van digitale woordenboeken en slimme zoekprogramma’s worden de onderschepte berichten gescand op trefwoorden.[10] De verwachting is dat er eerst meer overleg zal plaatsvinden tussen Internet Service Providers en de autoriteiten over wat technisch wel haalbaar is, en, ook een heikel punt, wie voor de kosten zal opdraaien.
    Maar er spelen ook politieke problemen bij de grip die politie en justitie op Internet en encryptie willen hebben. Naast privacygroeperingen roert vooral het bedrijfsleven zich. Binnen het bedrijfsleven bestaat veel weerstand tegen de eisen die op JBZ-niveau zijn geformuleerd, aangezien betrouwbare versleuteling als een absolute voorwaarde wordt gezien voor Internethandel. De economische belangen van het bedrijfsleven en de wensen van justitie en politie botsen hier stevig op elkaar.
    De resolutie die uiteindelijk aan de JBZ-Raad ter goedkeuring zal worden voorgelegd, krijgt waarschijnlijk een globaal karakter. Het is inmiddels omgedoopt tot een aparte ‘Resolutie over het wettelijk afluisteren van telecommunicatie in relatie tot nieuwe technologieën’. Daarin staat dat de eisen die in 1995 zijn geformuleerd, ook voor nieuwe communicatiemiddelen zoals satellietcommunicatie en het Internet gelden, en dat deze eisen aangepast moeten worden.[11]
    Het opdelen van de oorspronkelijke resolutie in deelonderwerpen is een niet ongebruikelijke gang van zaken binnen de EU. Als een onderwerp te veel problemen oplevert of te veelomvattend is, wordt de politieke overeenstemming op onderdelen bezegeld en de resterende ‘technische’ problemen in verschillende werkgroepen uitgewerkt. De politieke toestemming om aan de slag te gaan is dan wel gegeven.

    Geheime deur
    Op het gebied van Internet is de Internet Engineering Task Force (IETF) de internationale standaardisatie-organisatie. Er brak vorig jaar een heftige discussie los in de IETF-gelederen, toen de Amerikaanse FBI vroeg om in het nieuwe wereldwijde Internetprotocol IPv6, dat de IETF momenteel ontwikkelt, standaard aftapmogelijkheden in te bouwen. ‘Moet de IETF nieuwe protocollen ontwikkelen of bestaande protocollen aanpassen om mechanismen in te bouwen waarvan het primaire doel is om af te tappen of andere activiteiten van de autoriteiten te ondersteunen?’ vroeg de organisatie zich af in een oproep tot discussie onder haar leden.[12]
    De Amerikaanse burgerrechtenbeweging American Civil Liberties Union (ACLU) was fel tegen het standaard inbouwen van aftapmogelijkheden in de systeemarchitectuur van Internet. ‘Wat politie en justitie vragen, is hetzelfde als van huizenbouwers verlangen dat ze een geheime deur in alle nieuwe huizen aanbrengen waarvan alleen justitie en politie de sleutel hebben,’ schrijft de organisatie aan de IETF.[13]
    In november besloot de meerderheid van de IETF-leden om de eisen van de FBI naast zich neer te leggen. Maar een aantal grote bedrijven maakte duidelijk dat ze zelf aftapmogelijkheden in hun hard- en software zouden inbouwen. ‘Het protocol dat de IETF als basis vaststelt, zullen wij aanpassen. Ik verzeker jullie dat veel bedrijven het protocol zullen gebruiken met de aftapmogelijkheid,’ zei bijvoorbeeld Brian Rosen van Force Systems.[14]
    De FBI waarschuwde van tevoren voor de gevolgen van een negatieve beslissing. ‘Het worst case scenario is dat in Internetstandaarden geen voorzieningen komen voor wettelijk aftappen,’ verklaarde Barry Smith, special agent van de Digital Telephony and Encryption policy unit van de FBI. ‘Criminelen zullen nog meer via het Internet gaan communiceren.’ Maar ook hij wees erop, dat indien het IETF negatief zou beslissen, bedrijven alsnog zelf aftapprotocollen kunnen ontwerpen en inbouwen. ‘Als dit standaardisatie-instituut ervoor kiest de realiteit te negeren, dan geven ze weliswaar een boodschap af, maar bedrijven moeten in de echte wereld functioneren en zullen voldoen aan de eisen van de regering.’[15]


    [1] Mr. J.F.M. Pouw, Naar een Europees binnenlands veiligheidsbeleid? Europese samenwerking en de autonomie van nationale veiligheidsdiensten, Clingendael, Den Haag mei 1995; Duncan Campbell, ILETS, die geheime Hand hinter Enfopol 98, Telepolis 29-4-1999
    [2] Ook in de voorloper van de JBZ-Raad, het TREVI-overleg, had de BVD zitting in de subwerkgroep Interceptie van Trevi 2. Het hoofd van de BVD had tevens zitting in het Comité van Hoge Ambtenaren, het hoogste ambtelijk college van de Trevi-groep
    [3] Report from the Presidency tot the working group on police cooperation, Enfopol 1, 4118/2/95 Rev 2, Limite, Brussel 2-6-95
    [4] Council resolution on the lawful interception of communications, C 329, 04-11-96; Memorandum of Understanding concerning the lawful interception of telecommunications, Enfopol 112, 10037/95, Limite, Brussel 25-11-95
    [5] Memorandum of Understanding concerning the lawful interception of telecommunications, Enfopol 112, 10037/95, Limite, Brussel 25-11-95
    [6] Draft letter to be sent to the international standardisation bodies concerning the Council Resolution of 17 january 1995 on the lawful interception of communications, Council General Secretariat to Coreper/Council, Enfopol 166, 12789/95, Limite, Brussel 14-12-95
    [7] Resolutie 1115, document C97/135-E Restricted, ITU, Geneve 27-6-1997
    [8] Interceptie van telecommunicatie; ontwerp-raadsbesluit in het licht van de nieuwe technologieën. Voorzitterschap aan de Werkgroep Politiële Samenwerking, 10951/98 Enfopol 98, Limite, Brussel, 3-9-98
    [9] Christiane Schulzki-Haddouti, ‘Wir arbeiten seit 1996 daran’, Spiegel-online 30 september 1999
    [10] Interception capabilities 2000, Science and Technology Options Assesment, Brussel juni 1999
    [11] Interceptie van telecommunicatie; ontwerp-resolutie over nieuwe technologieën. Voorzitterschap aan de Werkgroep Politiële samenwerking, 6715/99 Enfopol 19 Limite, Brussel 15-3-99
    [12] verspreid via q/depesche mailing-list, 13 oktober 1999
    [13] Barry Steinhardt, associate director American Civil Liberties Union, brief 5 november 1999, gepubliceerd op q/depesche mailing-list, 11 november 1999
    [14] Wired News, 11 november 1999
    [15] Wired News, 13 oktober 1999