Wat als de politie gegevens over mijn Tor-node wil?

Afbeelding gebaseerd op Organic Onions van Chiot's Run (licentie: CC BY-NC 2.0). Thanks for sharing!

Als je een Tor exit-node draait krijg je van tijd tot tijd vorderingen van opsporingsdiensten uit binnen- en buitenland. Wat moet je daarmee?

Als het verkeer van anderen via jouw computer het internet opgaat, houdt je internetprovider je  verantwoordelijk voor dat verkeer. Dat is een risico dat helaas inherent is aan het doorsturen van andermans verkeer (en iets dat best eens anders geregeld zou kunnen worden). Dat kan betekenen dat de politie van je provider wil weten wie er achter het IP-adres van die node zit. Jij dus. Als je zelf het netwerk van de Tor-exit-node beheert, dan komen dat soort vragen bij jou terecht. Mocht het de Nederlandse politie zijn die met een juridisch correcte vordering bij je aanklopt, heb je geen andere keuze dan daar aan te voldoen. Uiteraard is de beantwoording makkelijk: je hebt geen gegevens, want Tor.

In de praktijk klopt de Nederlandse politie niet zo gauw aan. Zij weten heel goed wat een Tor-exit-node is en dat daar gewoonlijk niets te halen valt. Om ieders tijd te besparen maak je daarom vooraf op alle mogelijke manier helder dat op het IP-adres een exit-node gehost is. Voor buitenlandse opsporingsdiensten ligt dat anders. Daar doet men minder goed onderzoek vooraf, weet men niet wat een Tor-exit-node is of probeert men het tegen beter weten in. En dan krijg je als netwerkbeheerder soms een vordering, zoals deze uit het Duitse Quakenbrück, deze uit het Franse Salon de Provence, deze uit het Duitse Köln of deze uit het Indiaase Mumbai. Het antwoord op dat soort verzoeken is simpel.

Gegevens over gebruikers in je netwerk hoef je alleen maar te verstrekken als de Nederlandse wet je daartoe verplicht. Die verplicht je niet te voldoen aan vorderingen van buitenlandse opsporingsdiensten. En de wetgeving waarop zo’n buitenlandse opsporingsdienst zich baseert, reikt niet verder dan haar eigen landsgrenzen. De enige manier waarop een buitenlandse opsporingsdienst een geldig verzoek kan doen, is door dat verzoek met tussenkomst van de Nederlandse politie te doen. Zo’n verzoek moet dan gebaseerd zijn op een rechtshulpverdrag zoals het “Europees Verdrag aangaande de wederzijdse rechtshulp in strafzaken“. Alleen als de buitenlandse opsporingsdienst de vordering aan de Nederlandse politie stuurt én die op hun beurt een juridisch correcte vordering stuurt, ben je verplicht om inhoudelijk te reageren.

Zo ziet een stukje vordering via een rechtshulpverdrag eruit:

vordering

Dat weerhoudt sommige buitenlandse ambtenaren niet om te proberen je te verleiden om alsnog met de gevraagde gegevens op te komen proppen. Waarom de politie het tegen beter weten in vraagt is niet duidelijk, maar vermoedelijk vinden ze zo’n rechtshulpverzoek teveel werk. Dat is principieel fout: wat je kunt vorderen mag je niet vragen.

vordering2

In de reactie op zo’n buitenlandse vordering kun je dus volstaan met verwijzing naar die verdragen, de Mutual legal assistance treaties. Het is natuurlijk wel zo handig om er meteen bij te zeggen dat ze zich die moeite kunnen besparen omdat het een Tor-exit-node betreft, inclusief een korte beschrijving ervan.

In de meeste gevallen blijft het daarna stil. Als je er dan nog meer over hoort, dan is het meestal een bedankje voor de uitgebreide uitleg.