Wat de NSA doet, doet Europa al jaren in het openbaar

Dit artikel verscheen eerder bij decorrespondent.nlIn mijn vorige artikel beschreef ikwelke gegevens van mij liggen opgeslagen bij mijn gemeente en welke partijen daar toegang Het artikel Mormoon worden na je dood: de gemeente regelt het voor je tot hebben. Ook legde ik uit dat iedere burger zelf aan kan geven dat de gemeente zijn of haar gegevens niet mag delen met derde partijen.

Deze ‘opt-out’-mogelijkheid geldt niet voor de internet-en telefoongegevens van iedere Nederlander: internet-en telecomproviders zijn bij wet verplicht om alle zogenoemde metadata  Metadata is informatie over communicatie. Dus niet de inhoud van een telefoongesprek, maar informatie over bijvoorbeeld hoelang je met wie belt en vanaf waar. van iedere klant voor een jaar op te slaan. ‘Datgene waarvoor de NSA bedrijven moet dwingen, eigen afluisterstations moet inrichten en duizenden werknemers aan het werk heeft gezet, is in de EU bij wet geregeld.’

De NSA verzamelt elke dag 5 miljard locatiegegevens van mobiele telefoons. The Washington Post onthulde afgelopen week nieuwe documenten van klokkenluider Edward Snowden. Daarin werd een nieuw onderdeel van het surveillance-apparaat van de National Security Agency (NSA) beschreven. Het programma, CO-TRAVELER genaamd, legt dagelijks de locatie vast van honderden miljoenen mobiele telefoons van burgers over de hele wereld. De NSA probeert van bepaalde personen zo te kunnen vaststellen met wie ze bellen en omgaan. Door de vergaring van zoveel mogelijk gegevens, worden verbanden duidelijk tussen reeds bekende targets van de dienst en die van nog onbekende personen.

Om dit te bereiken, registreren en analyseren de NSA en de GHCQ, de Engelse evenknie van de NSA, de metadata van tientallen miljoenen burgers. Hoeveel precies is onduidelijk, maar een senior collection manager gaf op voorwaarde van anonimiteit en met toestemming van de NSA aan de Washington Post toe dat het ging om ‘grote volumes.’

In Europa gebeurt dit al sinds 2007

De omvang van het afluistersysteem van de NSA blijft verbazen. Het gekke is: in de EU doen we iets soortgelijks al zes jaar, openbaar en via de wet geregeld.

De wet op dataretentie verplicht sinds september 2007 elke Europese staat de internet- en telefoniegegevens (de metadata dus, niet de inhoud van de e-mails en gesprekken) van elke internet- en telefoongebruiker voor tenminste een half en maximaal twee jaar op te slaan. In Nederland slaan we de data één jaar op. In andere Europese landen verschilt het van zes maanden in Duitsland tot een volle twee jaar in Polen.

De wet op dataretentie verplicht sinds september 2007 elke Europese staat de internet- en telefoniegegevens (de metadata) van elke gebruiker op te slaan

Dit betekent dat er een jaar aan gegevens van elke Nederlander ligt opgeslagen bij internet- en telefoniemaatschappijen. Dat is een hooiberg voor de AIVD om terroristen in te vinden, maar een potentiële privacyramp als een database ooit lek blijkt. En een goudmijn voor een datamijnwerker zoals ik. Onze riante wetgeving helpt mij aan een betrouwbare persoonlijke database waar ik in kan gaan spitten.

Dit voorjaar heb ik een eerste poging gedaan om deze gegevens aan te boren. Met artikel 35 Artikel 35 geeft burgers het recht op inzage in de persoonlijke gegevens die bedrijven en overheden van hun vergaren, verwerken en verhandelen van de wet op persoonsgegevens onder de arm, klopte ik bij T-Mobile aan. Ik kreeg toen, keurig binnen de termijn van vier weken, een overzicht met de volgende persoonsgegevens: wie ik ben, wanneer ik geboren ben, hoelang ik al een abonnement heb en welke telefoon ik gebruik. Informatie die mij al via andere wegen bekend was. Niet de informatie waar ik op hoopte.

Het gaat me om de metadata die, volgens de wet, een jaar in de T-Mobile-datakluis moet worden opgeslagen. Na wat aandringen kreeg ik als antwoord: ‘Een heel jaar kunnen we niet aan beginnen, maar je mag tien dagen uitkiezen.’ Onder protest ben ik daarmee akkoord gegaan en ondanks de beperkte verzameling gegevens, is het resultaat een eye-opener. Met Google Maps kun je het resultaat zien van één dag van een deel van deze metadata. Je ziet de GSM-masten waarmee ik verbinding heb gemaakt op 11 maart 2012. Dit is voor één dag.

Laat staan als je tien dagen kunt bekijken. Of een heel jaar. Of jaren lang elke dag de gegevens van 711 miljoen EU-burgers, Eigenlijk 629 miljoen, aangezien Duitsland de wet op dataretentie heeft afgeschaft nadat het Hooggerechtshof het in strijd met het Europees Verdrag voor de Rechten van de Mens achtte. zoals de Europese opsporingsdiensten.

Selectieve verontwaardiging

Datgene waarvoor de NSA en haar zusje de GHCQ bedrijven moeten dwingen, eigen afluisterstations moeten inrichten en duizenden werknemers aan het werk hebben gezet, is in de EU bij wet geregeld. De overheid betaalt geen cent voor de vergaring en opslag van al die gegevens en verkrijgt er redelijk simpel inzicht in.

Datgene waarvoor de NSA bedrijven moet dwingen, eigen afluisterstations moet inrichten en duizenden werknemers aan het werk heeft gezet, is in de EU bij wet geregeld

Nu gaat de NSA verder, doordat ze tot ver over haar eigen grenzen haar methodes toepast. Maar ik krabte me toch even achter de oren over de ophef van afgelopen week, aangezien we hier in Europa met soortgelijke surveillance zelf hebben ingestemd. Voordat we onze verontwaardiging richten op de NSA en de GHCQ, moeten we wellicht eerst nagaan welke wetgeving we zelf geschapen hebben en met welk doel ook alweer.

Gelukkig zijn er genoeg groepen die al jaren kritisch zijn over deze wetgeving van de EU, zoals het Nederlandse Bits of Freedom en het Ierse Digital Rights. Die laatste spande in 2006 een rechtszaak aan tegen de nieuwe regelgeving. De nationale rechtbank vroeg om advies aan het Europese Hof in deze zaak en die gaf op haar beurt een advocaat-generaal de opdracht met een uitspraak te komen over de Europese Regelgeving. Vorige week was het dan eindelijk zo ver. De advocaat-generaal van het Europees Hof, Pedro Cruz Villalón, concludeerde dat de masale opslag van deze gegevens, in strijd is met het Europees Handvest van de Grondrechten van de Europese Unie:

‘Door aanbieders van elektronische communicatiediensten te verplichten om verkeers- en localisatiegegevens van elektronische communicatie te verzamelen en te bewaren, vormt de richtlijn een duidelijke inmenging in het grondrecht van burgers op eerbiediging van hun privéleven.’

Het is nog afwachten wat het Europese Hof met dit advies gaat doen en wat vervolgens de nationale rechtbank in Ierland zich hier van aantrekt. Maar als Cruz Villalón zijn zin krijgt, begint de klok te tikken voor ons datamijnwerkers om onze verkeersgegevens in handen te krijgen.

Leave a Reply