Expertbijeenkomst Eerste Kamer over Bewaarplicht

Op 9 december 2008 heeft de Eerste Kamer een zogenaamde "expertbijeenkomst" gehouden over de bewaarplicht. Het stenografisch verslag is boeiende materie. 

Op 9 december 2008 heeft de Eerste Kamer een zogenaamde "expertbijeenkomst" gehouden over het wetsvoorstel Wet Bewaarplicht. Bij deze bijeenkomst gaven de heer Van den Boom van Ernst & Young en de heer Niesen van Deloitte Accountants BV hun visie op de voorgestelde bewaarplicht. In het stenografisch verslag staat onder meer:

De heer Niesen: […] De eerste vraag gaat over het aantal communicaties per dag. Het is belangrijk om vast te stellen dat het hier niet gaat om communicaties tussen mensen. Het zijn veelal communicaties die door systemen worden opgestart. […] Als ik het optel, komen wij op een miljard communicaties per dag. […]

Mevrouw Strik (GroenLinks): Verderop zien wij dat buitenlandse internetaanbieders niet onder de bewaarplicht vallen, maar wordt een mail van deze aanbieders hier wel geregistreerd als een communicatie? De heer Niesen: Als een mail in Nederland binnenkomt bij een internetserviceprovider, valt die hier onder de bewaarplicht. De vraag is, of je die mail terug kunt traceren naar de afzender. Het antwoord op die vraag is nee, want dat valt er niet onder.

De heer Van den Boom: […] Aan de kant van de telecom worden gebruiksgegevens ook weggeschreven. Het verhoogt de complexiteit substantieel als het gaat om het daadwerkelijk live doorzoeken van gegevens.

De heer Niesen: […] Dit is iets dat gemaakt zal worden. ISP's zijn organisch gegroeid en absoluut niet gestandaardiseerd. Zij hebben allemaal hun eigen systemen en die zijn niet erop ingericht om dit soort gegevens op te leveren. Dat betekent dat elke ISP het op zijn eigen manier moet gaan implementeren. […] Er is ook een vraag over de kosten. Ik denk dat de opslagcapaciteit zelf slechts 5% à 10% van de totale kosten bedraagt. Dat zijn alleen maar de harde schijven waar het op komt te staan. Vervolgens moet het ontsloten worden en dat maakt het duur. Moet het heel snel kunnen worden ontsloten? De wet spreekt over onverwijld. Mij is niet duidelijk wat daarmee precies wordt bedoeld. Als het binnen enkele uren moet, vallen veel opties af. Het vereist een veel complexere en zwaardere systematiek van gegevensontsluiting dan wanneer je daarvoor enkele dagen de tijd krijgt. […] Ik kan mij voorstellen dat het voor een gemiddelde ISP een investering van enkele miljoenen vergt om te komen tot een werkend systeem. De opslagcapaciteit vormt daarvan maar een klein onderdeel.

De heer Van den Boom: Dat klopt. Er zijn voorbeelden van mensen die een abonnement hebben bij een internetserviceprovider en via dat abonnement bijvoorbeeld gebruikmaken van skypetelefonie. Er vindt dan geen registratie plaats van een skypetelefoongesprek en van het feit dat er van A naar B een gesprek plaatsvindt. Skype is een voorbeeld, maar zo zijn er verschillende messaging services. Het is ook mogelijk om tunnels te bouwen over het internet, […]

De voorzitter: Nog even heel specifiek. Ik ben advocaat en ik werk via mijn laptop met een VPN-verbinding met kantoor. Andere collega's doen dat ook. Ik communiceer via die VPN met hen thuis door middel van een mailtje. Wordt dat wel of niet geregistreerd? De heer Van den Boom: In dit geval valt het buiten de wet omdat het binnen het kantoornetwerk valt. Het wordt niet geregistreerd. Als u via uw privéadres mailt naar kantoor, wordt het wel geregistreerd. De heer Niesen: Het wordt niet geregistreerd omdat het niet openbaar is. Het wordt ook niet geregistreerd omdat het encrypted is. Alleen is duidelijk dat een verbinding openstaat, maar wat door de tunnel gaat, is niet helder.

De heer Niesen: […] Het is zo gemakkelijk om in te breken of om je anders voor te doen dan je daadwerkelijk bent op het internet. De foutkans is voorspelbaar, zeker als mensen kwaadwillend zijn. Mevrouw Strik (GroenLinks): Kunt u in percentages het risico aangeven dat het niet juist is? De heer Niesen: In een van de latere vragen wordt terecht gesteld dat het leeuwendeel van de spamberichten niet afkomstig is van daadwerkelijke e-mailadressen. Dat is bijna 100%. Het merendeel van de georganiseerde misdaad weet hoe dit moet worden omzeild.

De heer Niesen: […] Als een e-mailtje verstuurd wordt van buiten de Europese Unie naar Nederland, gaat het langs een aantal hubjes. […] De ISP ziet alleen het laatste stukje van de weg. De wet beoogt natuurlijk de originele afzender te kunnen zien, maar die informatie zit in de enveloppeheader van het berichtje en dat wordt gezien als inhoud van het mailbericht. Het klopt dat als e-mailtjes verschillende bruggetjes over moeten en sluisjes door moeten, je eigenlijk in de inhoud moet kijken om het gehele pad te zien en dat kan niet. […] De heer Van den Boom: […] Dat zijn veel gebruikte webmailprogramma's. Het kan ook op andere wijze. Op internet zijn allerlei uitwisselsystemen en social netwerkprogramma's, bijvoorbeeld een fotouitwisselprogramma. Er zijn heel veel internettoepassingen waarmee gegevens kunnen worden uitgewisseld zonder dat die geregistreerd worden. De heer Niesen: Of foutief geregistreerd worden. Mevrouw Broekers-Knol (VVD): Dat betekent eigenlijk dat alleen recht op en neer e-mailberichten geregistreerd worden en dat iemand uit het zicht is zodra hij iets kunstzinniger aan de slag gaat? De heer Van den Boom: Dat klopt. Mevrouw Strik (GroenLinks): Dit is voor de echte domme boeven.

Mevrouw Broekers-Knol (VVD): MSN is hetzelfde als sms?

De heer Niesen: Bij een telecomprovider bel je van A naar B en dat leidt tot een factuurregel. Bij ISP's werkt dat niet zo. Die systemen zijn ook niet ingericht om dat soort gegevens vast te houden. Dat compliceert de zaak wel, want deze operationele gegevens zijn per definitie niet aanwezig bij dit soort clubs. Die zullen dat alsnog moeten realiseren.

De voorzitter: Mijnheer Niesen, eigenlijk zegt u dat het dichten van de lekken alleen maar mogelijk is door wereldwijd afspraken te maken? De heer Niesen: Als het beperkt wordt tot Nederland, zie ik zoveel lekstromen dat het bijna onmogelijk is. Dat zie je ook in het rapport. Slechts een beperkt aantal dossiers had betrekking op internetgegevens. In al die dossiers was een link met Hotmail of Gmail. Als dat bekeken zou worden vanuit de gedachte van deze wetgeving, zou je het dossier niet rond krijgen.

De heer Kox (SP): Het is fascinerend dat de hele wereld bezig is met het weggooien van dingen die men niet wil hebben en dat wij nu een systeem ontwikkelen om gegevens te bewaren. De conclusie is dat wij spam bewaren plus nog enkele andere zaken? De heer Niesen: Wij bewaren gegevens over spam. Het bericht zelf wordt weggegooid.

De heer Niesen: […] Als je de onderliggende gegevens op deze manier aan de ISP's zou geven, weet ik zeker dat je 300 verschillende implementaties zult zien. Zij zijn dus niet hetzelfde. De wet biedt heel veel ruimte voor interpretatie. Ik vrees dat het tot veel onnodige kosten leidt en ik ben ook bang dat de kwaliteit van de gegevens die uiteindelijk worden vastgelegd, eronder lijdt.

De voorzitter: […] De ontwijkingsmogelijkheden hebt u immers nog niet getackeld? Daartoe ziet u ook geen mogelijkheden? De heer Van den Boom: Ik denk dat het ontzettend lastig is om dat sluitend te krijgen, gezien de ontwijkingsmogelijkheden, het open karakter van het internet en de mogelijkheden die de technologie biedt. Dat geldt zowel voor de Nederlandse wetgeving als voor EU-wetgeving.

Zie verder ook het artikel Bewaarplicht: miljard contactdata per dag op Webwereld.