Anonieme VPN aanbieden, mag dat? (deel 1)
Is het in Nederland toegestaan om via anonieme betaalmiddelen, zoals contant geld en Bitcoin, VPN-diensten aan te bieden, waarbij zo min mogelijk gegevens worden gelogd? In verband met PRISM staan dit soort diensten namelijk extra in de belangstelling.
In een serie artikelen geeft Matthijs van Bergen, specialist in het informatierecht bij ICTRecht, antwoord op deze vraag en de juridische kwesties die bij anonieme VPN komen kijken. Dit is het eerste deel. Het tweede deel over de relatie tot de bewaarplicht telecomgegevens lees je hier en deel drie over de aansprakelijkheid bij het aanbieden van dit soort diensten vind je hier.
Anonieme prepaid simkaarten mogen in Nederland ook
Al in 1997 kwam in de Nederlandse politiek de vraag aan de orde of er een recht bestaat op anonieme toegang tot telecommunicatienetwerken en -diensten. Het Kabinet wilde destijds een identificatieplicht in het leven roepen voor gebruikers van prepaid kaarten voor mobiele telefonie. Verkopers van deze kaarten zouden verplicht worden om voor de verkoop de klant te identificeren en registreren, zodat anonieme mobiele telefonie niet langer mogelijk zou zijn. De Registratiekamer, de voorloper van het College Bescherming Persoonsgegevens, kwam met zoveel bezwaren tegen het voorstel dat het Kabinet hem zelf introk. Een greep daaruit:
- Een identificatieplicht zou alle gebruikers van prepaid cards gelijk stellen met een kleine minderheid van wetsovertreders en een eerste stap zijn op weg naar een algemeen verbod op anoniem gebruik van telecommunicatiediensten. Dergelijk algemeen verbod zou in strijd zijn met artikel 8 van het Europees Verdrag voor de Rechten van de Mens ("EVRM"), dat de eerbiediging van de persoonlijke levenssfeer waarborgt. Dit grondrecht wordt tevens geacht het recht op vertrouwelijke telecommunicatie te omvatten.
- Registratie kon in de praktijk makkelijk worden ontdoken door prepaidkaarten te kopen van onverdachte burgers of bedrijven, of uit een land waar registratie niet plaatsvindt. Dit gebrek aan effectiviteit, zou de maatregel disproportioneel maken.
- Nederland zou met de bewuste maatregel in Europees verband uit de pas lopen. Destijds gold er in Duitsland zelfs een wet die aanbieders van "Telediensten", waar internettoegangsdiensten (destijds nog dial-up verbindingen over de telefoonlijn) ook toe werden gerekend, ertoe verplichtte om anoniem gebruik en anonieme betaling van de Telediensten mogelijk te maken voor zover dat technisch mogelijk en redelijk was.
Illustratief voor de veranderlijkheid van de balans die in regelgeving wordt getroffen tussen de belangen van anonimiteit versus de belangen van toerekenbaarheid en opsporing, is dat het in Duitsland inmiddels juist wel verplicht om je te laten registreren als je wilt kunnen bellen. Daarbij wordt overigens ook standaard een ‘kopietje paspoort’ in de registratie van de aanbieder opgenomen, zoals ik laatst zelf in de praktijk ondervond. Deze situatie zal volgens Webwereld door het Europees Hof voor de Rechten van de Mens worden getoetst aan het grondrecht op privacy, dankzij een Duitser die eerst alle mogelijke Duitse rechtsgangen had geprobeerd.
In Nederland is het momenteel nog altijd wel mogelijk om een telefoon te gebruiken zonder dat de telecomprovider weet wie je bent. Het is daarbij wel de vraag hoe anoniem een prepaid-gebruiker werkelijk is, aangezien de nummers van de inkomende en uitgaande gesprekken wel worden gelogd en bewaard. Als de eigenaren van die nummers wel zijn geregistreerd, kan uit die gegevens en de verkeers- en locatiegegevens mogelijk toch vrij eenvoudig de identiteit van de ‘anonieme’ prepaid gebruiker worden afgeleid.
Dit laat direct mooi zien dat anonimiteit net als veiligheid eigenlijk nooit absoluut is, omdat er voor een persoon of organisatie met voldoende kennis en middelen altijd wel een manier bestaat om de anonimiteit / beveiliging te doorbreken. De vraag blijft alleen: hoe gemakkelijk of moeilijk mag of moet je het maken?
Matthijs van Bergen is juridisch adviseur bij ICTRecht. Matthijs is specialist in het informatierecht en heeft in het bijzonder veel kennis over grondrechtelijke kwesties op internet, zoals netneutraliteit, privacy en vrijheid van meningsuiting.
In plaats daarvan wil je een efficiente wetshandhaversmacht die wel op tijd kan ingrijpen. En die hebben we niet.
Want zelfs als ze van te voren weten wat er gaat gebeuren en ze zitten vanuit een mobiel spionagehok te koekeloeren, dan nog kunnen schietgrage criminelen elkaar onder de neus van de po-li-tie naar het hiernamaals helpen en er mee wegkomen ook. Waarom zouden burgers dan nog overal met hun identiteit moeten zwaaien? Sinds er vele malen regels zijn toegevoegd en aangescherpt over al dat identificeren, is de pakkans gestegen? Volgens mij is die al een tiental jaren aan het zakken. Kennelijkt maakt het de po-li-tie alleen maar gezapiger en luier. Waarom die identificatieverplichtingen dan nog?
Wat je wil is een scenario als het volgende: Er zit een figuur "419"-emailtjes vanuit een amterdams internetcafe te versturen. Toevallig ziet iemand zo'n bericht in de mailbox en stuurt het door naar de politie, want er staat een 06-nummer in. Die zien IPadres uit de headers en het 06 uit het bericht en traceren het. Doe je dat snel genoeg -- zeg binnen een half uur -- dan heb je nog goede kans zo iemand op te pakken. Maar aangezien de po-li-tie pas volgende week de eerste afspraak kan maken om eventueel mischien je niet uit te lachen en wel een aangifte op te nemen, zal zoiets niet gebeuren. En dus worden er maar meer "bevoegdheden" aan het blauw toegekend waar ze evident niets mee kunnen en worden er meer verplichtingen op de burger afgewenteld waar'ie niets voor koopt.
Want heeft die Duitse registratieplicht ook maar een enkele terechte arrestatie meer opgeleverd? Het heeft wel zeker telefoonbedrijven klandizie gekost, en is er verkoop verschoven naar leveranciers die die registraties "vergeten". Je pakt er dus alweer geen grote vissen mee.
Even nadenken en je had dat zo kunnen verzinnen. Kennelijk is zelfs dat al teveel gevraagd, terwijl je zou denken dat het hun werk was.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.