Deze week lees je op TechPulse een vierdelig dossier over cyberdefensie. In dit hoofdstuk analyseren we de technieken die vadertje staat mag gebruiken om je surfgedrag op het net te volgen.

De huidige stand van zake is, op zijn zachtst gezegd, in flux. Voor 2014 bestond er al wetgeving omtrent onder andere het opvragen van telefoongegevens en het instellen van telefoontaps. Met de verschuiving van communicatie richting het internet moest de wetgeving aangepast worden. Dat vond zowel Europa, dat in 2014 een richtlijn lanceerde, als België, dat die richtlijn in 2015 omzette naar lokale wetgeving. Nederland pastte zijn wet op de bewaarplicht van telecommunicatiegegevens aan de Europese vereisten aan.Het Europese hof vernietigde vervolgens de Europese richtlijn, het grondwettelijk hof kelderde de Belgische omzetting en in Nederland verklaarde de voorzieningenrechter de wet onverbindend. Reden: de regels zouden te verregaand zijn en zo op een buitenproportionele manier inbreuk maken op de privacy. De Europese teneur in dat opzicht is duidelijk: Europa mag geen tweede VS worden.

Nemen we vandaag België als voorbeeld, dan zien we dat er een kersverse nieuwe wet van kracht is: de Dataretentiewet van 29 mei 2016. Wat daarin staat, bepaalt op dit moment wie wat mag opvragen, hoe en wanneer. De dataretentiewet is van toepassing op da ganse internetsector. Denk daarbij aan de operatoren die de internetverbinding zelf verzorgen maar ook bedrijven achter communicatiediensten die van het internet gebruik maken. Zowel een Telenet en een Proximus als een WhatsApp of een Telegram moeten zich er dus aan houden. Zij zijn verplicht om bepaalde gegevens bij te houden. Het gaat volgens Loubkine om gegevens die betrekking hebben op identificatie, verbinding, lokalisatie en communicatie. Wat er precies onder die noemer valt, is niet helemaal duidelijk. Een koninklijk besluit dat de vernietigde wet uit 2014 aanvulde, wordt nog steeds als richtlijn gebruikt. Het gaat dan concreet om bijvoorbeeld IP-adressen, poortgegevens over de verbinding waarmee je bijvoorbeeld lid werd van een communicatiedienst maar ook de tijdstippen waarop je online gaat. 

Data over je inloggedrag moet een jaar lang beschikbaar zijn te beginnen na de inlogsessie in kwestie, data in verband met de identificatie van jou als gebruiker moet een jaar lang bewaard worden te beginnen van de laatste dag waarop je van de dienst gebruik kon maken. “In de praktijk wil dat zeggen dat identificatiegegevens zoals IP-adressen maar ook gegevens over de manier waarop je bijvoorbeeld je internetabonnement hebt betaalt tot twaalf maanden na het beëindigen van het contract moeten bewaard worden”, aldus Loubkine.

Justitie kan in specifieke gevallen wel vragen om internetverkeer van verdachten te monitoren. In dat geval wordt er een ‘tap’ geactiveerd die je gerust kan vergelijken met een telefoontap. De politie kijkt dan mee met het gemonitorde internetverkeer. 

In conclusie kan je dus stellen dat gevoelige identificatiegegevens geruime tijd worden bijgehouden, maar dat het niet zo is dat de overheid over je schouder meekijkt naar je surfgedrag. NSA-praktijken waarbij alles wat je doet zo lang mogelijk op een superserver terecht komt, zijn hier vooralsnog niet aan de orde. De staat heeft wel de nodige tools in handen om misdrijven die in de digitale wereld plaatsvinden terug te koppelen naar je voordeur. Het probleem van buitenlandse criminaliteit blijft natuurlijk. Zelfs met een Europese richtlijn is er niets dat een Syberische operator tegenhoudt om de IP-adressen van een bende cybercriminelen voor zich te houden.

Alles bij de bron; TechPulse [Thnx-2-Luc]