image

Anonieme VPN aanbieden, mag dat? (deel 1)

dinsdag 29 oktober 2013, 14:55 door Matthijs van Bergen, 1 reacties

Is het in Nederland toegestaan om via anonieme betaalmiddelen, zoals contant geld en Bitcoin, VPN-diensten aan te bieden, waarbij zo min mogelijk gegevens worden gelogd? In verband met PRISM staan dit soort diensten namelijk extra in de belangstelling.

In een serie artikelen geeft Matthijs van Bergen, specialist in het informatierecht bij ICTRecht, antwoord op deze vraag en de juridische kwesties die bij anonieme VPN komen kijken. Dit is het eerste deel. Het tweede deel over de relatie tot de bewaarplicht telecomgegevens lees je hier en deel drie over de aansprakelijkheid bij het aanbieden van dit soort diensten vind je hier.

Anonieme prepaid simkaarten mogen in Nederland ook

Al in 1997 kwam in de Nederlandse politiek de vraag aan de orde of er een recht bestaat op anonieme toegang tot telecommunicatienetwerken en -diensten. Het Kabinet wilde destijds een identificatieplicht in het leven roepen voor gebruikers van prepaid kaarten voor mobiele telefonie. Verkopers van deze kaarten zouden verplicht worden om voor de verkoop de klant te identificeren en registreren, zodat anonieme mobiele telefonie niet langer mogelijk zou zijn. De Registratiekamer, de voorloper van het College Bescherming Persoonsgegevens, kwam met zoveel bezwaren tegen het voorstel dat het Kabinet hem zelf introk. Een greep daaruit:

  • Een identificatieplicht zou alle gebruikers van prepaid cards gelijk stellen met een kleine minderheid van wetsovertreders en een eerste stap zijn op weg naar een algemeen verbod op anoniem gebruik van telecommunicatiediensten. Dergelijk algemeen verbod zou in strijd zijn met artikel 8 van het Europees Verdrag voor de Rechten van de Mens ("EVRM"), dat de eerbiediging van de persoonlijke levenssfeer waarborgt. Dit grondrecht wordt tevens geacht het recht op vertrouwelijke telecommunicatie te omvatten.
  • Registratie kon in de praktijk makkelijk worden ontdoken door prepaidkaarten te kopen van onverdachte burgers of bedrijven, of uit een land waar registratie niet plaatsvindt. Dit gebrek aan effectiviteit, zou de maatregel disproportioneel maken.
  • Nederland zou met de bewuste maatregel in Europees verband uit de pas lopen. Destijds gold er in Duitsland zelfs een wet die aanbieders van "Telediensten", waar internettoegangsdiensten (destijds nog dial-up verbindingen over de telefoonlijn) ook toe werden gerekend, ertoe verplichtte om anoniem gebruik en anonieme betaling van de Telediensten mogelijk te maken voor zover dat technisch mogelijk en redelijk was.

Illustratief voor de veranderlijkheid van de balans die in regelgeving wordt getroffen tussen de belangen van anonimiteit versus de belangen van toerekenbaarheid en opsporing, is dat het in Duitsland inmiddels juist wel verplicht om je te laten registreren als je wilt kunnen bellen. Daarbij wordt overigens ook standaard een ‘kopietje paspoort’ in de registratie van de aanbieder opgenomen, zoals ik laatst zelf in de praktijk ondervond. Deze situatie zal volgens Webwereld door het Europees Hof voor de Rechten van de Mens worden getoetst aan het grondrecht op privacy, dankzij een Duitser die eerst alle mogelijke Duitse rechtsgangen had geprobeerd.

In Nederland is het momenteel nog altijd wel mogelijk om een telefoon te gebruiken zonder dat de telecomprovider weet wie je bent. Het is daarbij wel de vraag hoe anoniem een prepaid-gebruiker werkelijk is, aangezien de nummers van de inkomende en uitgaande gesprekken wel worden gelogd en bewaard. Als de eigenaren van die nummers wel zijn geregistreerd, kan uit die gegevens en de verkeers- en locatiegegevens mogelijk toch vrij eenvoudig de identiteit van de ‘anonieme’ prepaid gebruiker worden afgeleid.

Dit laat direct mooi zien dat anonimiteit net als veiligheid eigenlijk nooit absoluut is, omdat er voor een persoon of organisatie met voldoende kennis en middelen altijd wel een manier bestaat om de anonimiteit / beveiliging te doorbreken. De vraag blijft alleen: hoe gemakkelijk of moeilijk mag of moet je het maken?

Matthijs van Bergen is juridisch adviseur bij ICTRecht. Matthijs is specialist in het informatierecht en heeft in het bijzonder veel kennis over grondrechtelijke kwesties op internet, zoals netneutraliteit, privacy en vrijheid van meningsuiting.

Reacties (1)
29-10-2013, 15:50 door Anoniem
Persoonlijk denk ik dat in het geval van mobiele telefonie de po-li-tie er eigenlijk toch alleen wat aan heeft om het ding te localiseren en de gebruiker in te rekenen, mochten ze daar gegronde (en legale) redenen toe hebben. Vergelijkbaars zie je met allerlei andere gemakshalve maar ingestelde identificatieverplichtingen: Tegen de tijd dat de po-li-tie eens van de ambtelijke aars afkomt is de vogel gevlogen en blijkt de identiteit "geleend" -- waarmee ze zichzelf op een dwaalspoor gezet heeft. In dat opzicht is het veel beter de identiteit niet te pretenderen te weten.

In plaats daarvan wil je een efficiente wetshandhaversmacht die wel op tijd kan ingrijpen. En die hebben we niet.

Want zelfs als ze van te voren weten wat er gaat gebeuren en ze zitten vanuit een mobiel spionagehok te koekeloeren, dan nog kunnen schietgrage criminelen elkaar onder de neus van de po-li-tie naar het hiernamaals helpen en er mee wegkomen ook. Waarom zouden burgers dan nog overal met hun identiteit moeten zwaaien? Sinds er vele malen regels zijn toegevoegd en aangescherpt over al dat identificeren, is de pakkans gestegen? Volgens mij is die al een tiental jaren aan het zakken. Kennelijkt maakt het de po-li-tie alleen maar gezapiger en luier. Waarom die identificatieverplichtingen dan nog?

Wat je wil is een scenario als het volgende: Er zit een figuur "419"-emailtjes vanuit een amterdams internetcafe te versturen. Toevallig ziet iemand zo'n bericht in de mailbox en stuurt het door naar de politie, want er staat een 06-nummer in. Die zien IPadres uit de headers en het 06 uit het bericht en traceren het. Doe je dat snel genoeg -- zeg binnen een half uur -- dan heb je nog goede kans zo iemand op te pakken. Maar aangezien de po-li-tie pas volgende week de eerste afspraak kan maken om eventueel mischien je niet uit te lachen en wel een aangifte op te nemen, zal zoiets niet gebeuren. En dus worden er maar meer "bevoegdheden" aan het blauw toegekend waar ze evident niets mee kunnen en worden er meer verplichtingen op de burger afgewenteld waar'ie niets voor koopt.

Want heeft die Duitse registratieplicht ook maar een enkele terechte arrestatie meer opgeleverd? Het heeft wel zeker telefoonbedrijven klandizie gekost, en is er verkoop verschoven naar leveranciers die die registraties "vergeten". Je pakt er dus alweer geen grote vissen mee.

Even nadenken en je had dat zo kunnen verzinnen. Kennelijk is zelfs dat al teveel gevraagd, terwijl je zou denken dat het hun werk was.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.