DEZE WEEK IS DE TAPWET op internet van kracht geworden: alle providers moeten hun klanten aftappen indien justitie daartoe opdracht geeft. Providers moeten een tapdoos hebben (of lenen) die een goedgekeurd aftapbevel automatisch verwerkt en uitvoert. Elke keer dat zo’n gebruiker contact maakt met zijn provider, begint de tapdoos zijn werk. Alle gegevens die een bepaalde gebruiker genereert (met wie mailt hij, wat staat er in die mail, naar welke sites gaat hij, aan welke chats doet hij mee, wat zegt hij daar, welke bestanden downloadt of verstuurt hij, welke nieuwsgroepen en webfora bezoekt hij) worden vier weken lang bijgehouden en dan aan justitie overgedragen. Zulke gegevens bevatten een schat aan informatie. Niet alleen is de daadwerkelijke inhoud van de communicatie ermee te achterhalen; ook de netwerken die iemand onderhoudt of waarvan hij deel uitmaakt worden zo in kaart gebracht.
Justitie heeft ondertussen een stuwmeer aan aftapbevelen opgespaard: welingelichte kringen spreken over meer dan honderd. Waarschijnlijk worden die deze week en masse aan de providers overhandigd. Maar niemand weet om hoeveel gebruikers het precies gaat. Sterker: niemand kan dat nagaan, want de bevelen zijn geautomatiseerd: de machines die bij providers gestald worden, verwerken de orders zonder menselijke tussenkomt: de machines kijken of de order authentiek is (door een digitale handtekening te controleren) en zo ja, dan begint de tap. Geldt zo’n geautomatiseerd bevel een enkel individu? Stelt het bevel een tap op meer mensen in werking?
Evenmin is helder wie precies tot tappen kunnen worden verplicht. Providers, ja, zoveel is duidelijk: alle instanties die openbare internetdiensten aan het publiek bieden vallen onder de nieuwe tapwet. Maar moet een clubhuis dat haar bezoekers internettoegang biedt, tapbaar worden? Moeten bedrijven die webruimte verkopen (hosting providers) hun systemen ook aftapbaar maken? Experts denken van wel, maar niemand heeft die hosting providers verteld of ook zij hun systemen toegankelijk moeten maken. De wet lijkt nu bovendien te eisen dat al het verkeer van een verdachte op elk punt van de reis aftapbaar moet zijn. Waarom zouden tien providers onderweg dezelfde gegevens moeten onderscheppen? Dat verhoogt de kosten van hun bedrijfsvoering enorm, en daarmee die voor alle eindgebruikers.
Hoever strekt zo’n taporder precies? Ook dat is niet duidelijk. Bij een tap op een GSM is helder wat er gebeurt: al het verkeer van en naar dat ene mobieltje wordt bijgehouden. Maar je e-mail adres, dat kun je overal gebruiken, en je hebt er geen Nederlandse provider voor nodig noch een eigen computer: je kunt in de bibliotheek surfen en chatten, of in een internetcafé. Je kunt je hotmail-berichten bij je vrienden ophalen. Als een verdachte bij een vriend thuis zit te internetten, worden de gegevens van die vriend dan ook meegenomen, bewaard en geanalyseerd? Mag Justitie eisen dat een bedrijf waar een verdachte werkt hem gaat tappen, als zijn werk de enige plek is waar die verdachte internettoegang heeft?
Het meest ondoorzichtige is wel dat niemand weet hoeveel Nederland nu al tapt. Gegevens over telefoontaps zijn uitermate summier beschikbaar. Vroeger stonden ze netjes in de begroting van Justitie, maar dat departement stelt nu dat ze zulke getallen helemaal niet meer bijhoudt, en weert op die manier verzoeken tot inzage in tapcijfers via de Wet Openbaarheid Bestuur grondig af: wat je niet hebt kun je immers ook niet afstaan. In brieven van het politieoverleg worden soms echter wel aantallen genoemd. Daaruit blijkt dat er in 1994 circa 3000 telefoons werden afgetapt. In de jaren daarna namen taps explosief in aantal toe: in 1998 waren er al 10.000 telefoontaps.
De verwachting is dat het aantal internettaps nog sneller zal groeien: al was het maar omdat deze taps veel handiger zijn dan telefoontaps. Van telefoongesprekken moet je transcripten maken: de banden moeten afgeluisterd en uitgetypt worden. Bij internettaps hoeft dat niet: al het verkeer is immers al door de internetgebruiker zelf uitgeschreven: Justitie krijgt kant-en-klare kopieën van alle e-mail. En zulke digitale correspondentie is bovendien makkelijk te doorzoeken.
Opmerkelijk is tenslotte dat er op internet geen grens wordt gesteld aan de aftapcapaciteit, terwijl voor het aftappen van analoge telefonie, GSM, semafoons en satelliettelefoon wel een bovengrens geldt. Telefoonaanbieders moeten hun apparatuur zo inrichten dat een vast percentage van het maximaal aantal mogelijke verbindingen aftapbaar is: voor analoge telefonie geldt een grens van 0,1 promille (1 op 10.000 verbindingen) en voor GSM 1,5 promille (15 op 10.000 actieve SIM-kaarten). Voor internettaps is geen plafond afgesproken. Dat betekent vrijwel zeker ongebreidelde groei van zulke taps. Het kan nu per slot van rekening automatisch.
Bronnen:
- Tapspecificaties: www.xtdnet.nl/paul/tap/
- Tapciijfers: Maurice Wessling in Netkwesties